BIND 9 の３件の脆弱性 CVE-2025-8677／40778／40780 が FIX：DoS 攻撃などの可能性

BIND 9 Vulnerabilities Expose DNS Servers to Cache Poisoning and DoS

2025/10/23 gbhackers — Internet Systems Consortium (ISC) が公表したのは、世界で最も広く導入されている DNS ソフトウェア BIND 9 に存在する３件の深刻な脆弱性の情報である。2025年10月22日に公表された、これらの脆弱性は DNS リゾルバの問題であり、世界中の数百万人のユーザーに影響を与える可能性がある。影響を受ける BIND 9 バージョンを使用している組織にとって必要なことは、優先的なパッチ適用により悪用を防ぐことである。

これら３件の脆弱性は、DNS インフラが各種の攻撃ベクターにさらされるため、DNS 解決の整合性と可用性が損なわれる可能性がある。

DNS はインターネット機能の基盤であるため、企業ネットワーク／インターネット・サービス・プロバイダ、そして正確なドメイン名解決に依存するすべての人にとって、これらの脆弱性は懸念されるものだ。

これらの脆弱性を悪用する攻撃者は、悪意の Web サイトへのユーザー・リダイレクトや、通信の傍受、サービス拒否攻撃を引き起こす可能性を手にする。３つの脆弱性のうちの２件は、CVSS スコア 8.6 で深刻度が High と評価されているが、３件目は深刻度 7.5 である。

いずれの脆弱性も、攻撃に際して認証は必要とされず、ネットワーク・ベースのリモート・エクスプロイトが可能であるため、容易な侵害を可能にする恐れがある。

脆弱性の詳細

CVE ID	Title	CVSS 3.1	Severity
CVE-2025-8677	Resource exhaustion via malformed DNSKEY handling	7.5	High
CVE-2025-40778	Cache poisoning attacks with unsolicited RRs	8.6	High
CVE-2025-40780	Cache poisoning due to weak PRNG	8.6	High

１つ目の脆弱性 CVE-2025-8677 は、不正な DNSKEY レコードの悪用から生じる CPU 過負荷により、リソース枯渇を引き起こすものだ。

それらの不正なレコードを含む細工されたゾーンに対して、DNS リゾルバがクエリを実行すると、サーバ が過負荷状態になり、正規のクライアントからのサービス要求が拒否されてしまう。この脆弱性の影響が顕著なのは、エンド・ユーザーからの DNS クエリを処理する再帰リゾルバである。

２つ目の CVE-2025-40778 と ３つ目の CVE-2025-40780 の悪用により、キャッシュ・ポイズニング攻撃が可能になる。その結果として、攻撃者はリゾルバのキャッシュに偽造された DNS レコードを挿入できる。

CVE-2025-40778 ではレコード受け入れポリシーの緩さを悪用され、CVE-2025-40780 では BIND の疑似乱数生成器の脆弱性が悪用される。それにより、送信元ポートとクエリ ID を、攻撃者が予測できるようになる。

ポイズニングされてしまったキャッシュは、後続の DNS クエリに影響を与えるため、攻撃者が管理するインフラへと、ユーザーが無期限にリダイレクトされる可能性が生じる。

ユーザー組織にとって必要なことは、修正済みの BIND 9 バージョン 9.18.41／9.20.15／9.21.14 へと直ちにアップグレードすることだ。また、Preview Edition を利用している場合には、バージョン 9.18.41-S1／9.20.15-S1 へとアップグレードする必要がある。

現時点において、回避策は存在しないため、パッチ適用が唯一の緩和策となる。なお、既知の有効なエクスプロイトも確認されていない。これらの問題は、清華大学と南開大学の脆弱性研究チームが発見したものである。

一連の問題の原因は、BIND 9 の DNS リゾルバにおける処理設計の不備にあるようです。１つは、異常な DNSKEY レコードを処理する際に過剰な CPU 負荷が発生する点であり、他の２つはキャッシュ・ポイズニング対策の弱さです。特に、疑似乱数生成器 (PRNG) の予測可能性とレコード受け入れの緩さが組み合わさり、偽の DNS 情報のキャッシュ注入を攻撃者に許す可能性があります。ご利用のチームは、ご注意ください。よろしければ、BIND 9 で検索も、ご参照ください。