706,000+ BIND 9 Resolver Instances Vulnerable to Cache Poisoning Exposed Online – PoC Released
2025/10/25 CyberSecurityNews — BIND 9 リゾルバに深刻な脆弱性が発見された。この脆弱性を悪用する攻撃者はキャッシュを改竄し、悪意のあるサイトへとインターネット・トラフィックをリダイレクトする可能性を得る。インターネット・スキャン企業 Censys が特定した、脆弱性 CVE-2025-40778 (CVSS:7.6) が影響を及ぼす範囲は、世界中の 70万6000件以上の脆弱なインスタンスとなる。
この脆弱性は、DNS レスポンスにおける不要なリソース・レコードを、BIND が過度に許容することに起因する。それを悪用する攻撃者は、対象となるネットワークに直接アクセスすることなく、偽造データを挿入する可能性を得る。
広く使用される BIND ソフトウェアのメンテナーである Internet Systems Consortium (ISC) は、2025年10月22日の時点で詳細情報を公開し、速やかなパッチ適用を管理者に促している。
BIND 9 は、インターネットのドメイン名解決の大部分を担っている。したがって、BIND 9 の再帰リゾルバに依存している数多くの企業/ISP/政府機関にとって、この脆弱性はきわめて深刻な問題となる。
現時点では実際の悪用事例は報告されていないが、GitHub 上で PoC エクスプロイトが公開されたことで、標的型攻撃を仕掛けるための青写真を、攻撃者たちは手に入れたことになる。
BIND 9 リゾルバの脆弱性
脆弱性 CVE-2025-40778 の原因は、BIND 9 リゾルバの論理的な欠陥にある。この欠陥は、オリジナルのクエリに含まれていないリソース・レコード (RR) を受け入れて、キャッシュしてしまうところにある。
通常の DNS 操作において想定されるのは、再帰リゾルバは権威ネーム・サーバにクエリを送信し、関連する回答/権威データ/追加セクションのみを含むレスポンスが戻される状況である。
しかし、影響を受けるバージョンでは、クエリ対象ドメインの権威ゾーンに対して、レコードを制限する権限原則が厳密に適用されていない。この脆弱性を悪用する攻撃者は、レスポンスの競合や偽装を引き起こすことで、自身で管理するインフラを指す “A” や “AAAA” エントリといった偽のアドレス・レコードを挿入できる。
この脆弱性が影響を及ぼす範囲は、BIND 9 のバージョン 9.11.0〜9.16.50/9.18.0〜9.18.39/9.20.0〜9.20.13/9.21.0〜9.21.12 であり、そこにはサポート対象プレビュー版も含まれる。なお、バージョン 9.11.0 以下にも脆弱性が存在すると考えられるが、評価は行われていない。
再帰リゾルバのコンフィグレーションのみが危険にさらされている。再帰が有効化されていない限り、権威サーバは影響を受けない。キャッシュが改竄されると、TTL 値に応じて数時間から数日の間に、下流のクライアントが誤った方向へと誘導されていく。その結果として、新たな検索などをトリガーすることなく、フィッシング/データ傍受/サービス中断などにつながる可能性がある。
今回の情報開示に合わせて Censys が実施したスキャンが浮き彫りにするのは、インターネット上で公開されている脆弱な BIND インスタンスが 706,000 件以上も存在していることだ。
この数値は、ファイアウォールや社内環境での展開を除外しているため、実際の数値よりも過小評価されている可能性がある。この脆弱性は、CWE-349 (信頼できない外部データの受け入れ) に分類され、ネットワーク経由でリモートから悪用される可能性があり、複雑さも権限も必要とされない。
この脆弱性は整合性に対する脅威を生み出すが、より広範な攻撃に連鎖的に発展する可能性があり、中間者攻撃のシナリオやリダイレクトされたトラフィックを介したサービス拒否攻撃の増幅などにつながるとされる。
概念実証と悪用リスク
GitHub で PoC エクスプロイトを公開した研究者 N3mes1s は、制御された環境を用いてインジェクション手法を実証し、レスポンスを偽装するキャッシュ・ポイズニングを検証している。
この PoC エクスプロイトを用いるオフパス攻撃者は、クエリ・パターンを監視して正規のサーバよりも迅速に応答することで、送信元ポートのランダム化などの従来の保護を回避できることが示されている。
このコードの目的は教育にあるが、セキュリティ専門家たちが警告するのは、実環境のパッチ未適用のシステムに対して、転用される可能性があるという点だ。
2025年10月25日の時点で、実際のエクスプロイトは確認されていない。ただし、この脆弱性 CVE-2025-40778 の公開の直前には、予測可能なクエリ ID を介してキャッシュ・ポイズニングを可能にする、DNS 関連の脅威である CVE-2025-40780 が明らかにされている。
この問題に関する ISC の指摘は、DNSSEC 検証済みのゾーンに直接影響を与えるものではないが、実装が不完全な場合には被害が生じる可能性があるというものだ。国家に支援される APT グループなどの脅威アクターは、DNS を標的として永続化を図るという攻撃を継続しているため、迅速なパッチ適用が不可欠である。
すでに ISC は、パッチ適用済みバージョン 9.18.41/9.20.15/9.21.14 をリリースし、脆弱性 CVE-2025-40778 に対処している。したがって、ユーザーに対して強く推奨されるのは、これらの最新バージョンへの速やかなアップデートとなる。
なお、迅速なアップデートが不可能な場合には、ACL を介した信頼できるクライアントへの再帰アクセスの制限/DNSSEC 検証の有効化によるレスポンスの署名検証に加えて、BIND の統計チャネルなどのツールを用いたキャッシュの内容の異常の監視が推奨される。追加キャッシュ・セクションの無効化や、クエリに対するレート制限の適用により、さらにリスクを軽減できる。
ユーザー組織にとって必要なことは、Censys または Shodan のツールを介したネットワークのスキャン/脆弱な BIND インスタンスの検出/トラフィック量の多いリゾルバへの優先的な対処などである。
BIND はインターネットの安定性の基盤であり、また、今回のインシデントが示すのは、DNS セキュリティにおけるイタチごっこの様相である。ISC は、将来のリリースで検証機能を強化することを約束している。
今回の BIND 9 の問題は、不要なリソース・レコードを過度に受け入れてキャッシュするという、ロジック上の欠陥に原因があります。再帰リゾルバがクエリに含まれない “A/AAAA” などの偽レコードを取り込み、下流クライアントを誤誘導する恐れがあります。権威ゾーンの境界を厳密に検査できていなかった点が根本的な原因であり、再帰を有効にした環境で特に影響が出やすい設計上の脆弱性であると、この記事は指摘しています。よろしければ、2025/10/23 の「BIND 9 の3件の脆弱性 CVE-2025-8677/40778/40780 が FIX:DoS 攻撃などの可能性」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.