BIND 9 Vulnerabilities Expose Organizations to Cache Poisoning and DoS Attacks
2025/07/18 CyberSecurityNews — BIND 9 DNS リゾルバに存在する2つの深刻な脆弱性が、世界中の組織に影響を及ぼしている。これらの脆弱性を悪用する攻撃者は、キャッシュ・ポイズニング攻撃およびサービス拒否攻撃という重大なリスクを引き起こすという。これらの脆弱性 CVE-2025-40776/CVE-2025-40777 は、DNS インフラに対して、特に高度な機能を有する設定済みのリゾルバに対して、重大なセキュリティ・リスクをもたらす。
主なポイント
- キャッシュ・ポイズニングの脆弱性 CVE-2025-40776 と、サービス拒否の脆弱性 CVE-2025-40777 は、BIND 9 リゾルバに影響を与える。
- 特定の BIND のコンフィグにより、未認証でのリモート攻撃が可能となる。
- 修正済みバージョンへのアップグレード、または、脆弱な機能の無効化が求められる。
キャッシュ・ポイズニングの脆弱性 CVE-2025-40776
CVE-2025-40776 は、EDNS クライアント・サブネット (ECS) オプションが有効化されている、BIND 9 リゾルバを対象とするものであり、CVSS:8.6:High の脆弱性と評価されている。
バースデー攻撃を引き起こす、この脆弱性は、BIND Subscription Edition (-S) の以下のバージョンにだけ影響を及ぼす。
- 9.11.3-S1 ~ 9.16.50-S1
- 9.18.11-S1 ~ 9.18.37-S1
- 9.20.9-S1 ~ 9.20.10-S1
ECS オプションを権威サーバに送信する、リゾルバの動作を悪用する攻撃者は、送信元ポートの推測成功率を高めるクエリを、リゾルバに対して強制的に実行させることが可能となる。
この脆弱性は、南開大学 AOSP ラボに所属する Xiang Li が発見したものであり、バースデー・キャッシュ・ポイズニング攻撃に対する緩和策を無効化するものである。
CVSS ベクター (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N) が示すのは、この脆弱性がネットワーク経由で実行可能であり、整合性に対して高い影響を及ぼすことだ。
サービス拒否の脆弱性 CVE-2025-40777
CVE-2025-40777 (CVSS:7.5) は、サービス拒否 (DoS) 攻撃のリスクを提示するものであり、アサーション・エラーを引き起こす脅威ベクターを有している。
影響を受けるのは、以下のバージョンである。
- BIND 9.20.0 ~ 9.20.10
- BIND 9.21.0 ~ 9.21.9
- 対応するサポート対象のプレビュー版
この脆弱性は、リゾルバの serve-stale-enable が yes に設定され、stale-answer-client-timeout が 0 に設定されている状態において発生する。
攻撃者は、キャッシュ済みレコード/権限レコードを取り込む CNAME チェーンを用いて、named デーモンを強制終了させる可能性を手にする。
この問題は、ISC による社内テストで発見されたものであり、現時点でのアクティブなエクスプロイトは確認されていない。
CVSS ベクター (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H) が示すのは、リモート攻撃により、可用性に対して重大な影響を及ぶことだ。
影響対象バージョンと CVSS 評価
| CVE | Title | Affected Products | CVSS 3.1 Score | Severity |
| CVE-2025-40776 | Birthday Attack against Resolvers supporting ECS | BIND 9 Supported Preview Edition:- 9.11.3-S1 → 9.16.50-S1- 9.18.11-S1 → 9.18.37-S1- 9.20.9-S1 → 9.20.10-S1 | 8.6 | High |
| CVE-2025-40777 | A possible assertion failure when using the ‘stale-answer-client-timeout 0’ option | BIND 9:- 9.20.0 → 9.20.10- 9.21.0 → 9.21.9 BIND Supported Preview Edition:- 9.20.9-S1 → 9.20.10-S1 | 7.5 | High |
緩和策
ユーザーに対して ISC が強く推奨するのは、この2つの脆弱性に対して、速やかに修正パッチを適用することだ。
CVE-2025-40776 に関して推奨されるのは、BIND 9.18.38-S1/9.20.11-S1 へのアップグレード、もしくは、named.conf から ecs-zones オプションを削除する ECS 機能の無効化である。
その一方で、CVE-2025-40777 に関しては、BIND 9.20.11/9.21.10 へのアップグレードが必要となる。
一時的な回避策としては、コンフィグ・ファイルにおける、stale-answer-client-timeout の off 設定、もしくは、stale-answer-enable の no 設定が挙げられる。
これらの脆弱性は、キャッシュ・ポイズニングとサービス拒否の攻撃を引き起こし、ユーザー組織のセキュリティ体制およびサービス可用性に、深刻な影響を及ぼし得るものだ。DNS インフラの最新状態の維持は、きわめて重要なことである。
BIND 9 に存在する2つの脆弱性 CVE-2025-40776/CVE-2025-40777 について解説されています。DNS の ECS 機能や特定の設定に応じて、キャッシュ・ポイズニングや DoS 攻撃のリスクが生じると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、BIND で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.