CVE-2025-40778 e CVE-2025-40780: Vulnerabilidades críticas no BIND 9 permitem envenenamento de cache DNS

This post is also available in: Português

O BIND 9, um dos servidores DNS mais utilizados no mundo, está no centro de duas vulnerabilidades críticas recentemente divulgadas: CVE-2025-40778 e CVE-2025-40780. Ambas possuem pontuação CVSS de 8.6, indicando risco alto de exploração, especialmente em ambientes que dependem fortemente da integridade das respostas DNS para o funcionamento de serviços e aplicações.

Essas falhas, reportadas pela Internet Systems Consortium (ISC), mantêm o alerta aceso para administradores de redes e provedores de serviços DNS, já que o comprometimento do cache pode permitir ataques de redirecionamento de tráfego, espionagem e comprometimento de comunicações legítimas.

Sobre o BIND e seu papel na infraestrutura da internet

O BIND (Berkeley Internet Name Domain) é um software de código aberto amplamente adotado para a resolução de nomes na internet. Ele traduz nomes de domínio legíveis por humanos em endereços IP, sendo essencial para o funcionamento de praticamente qualquer serviço online.

Por sua relevância, vulnerabilidades no BIND tendem a ter impacto sistêmico, afetando provedores, data centers, universidades e empresas que operam seus próprios servidores DNS.

CVE-2025-40778: Envenenamento de cache com registros não solicitados

A vulnerabilidade CVE-2025-40778 decorre de um comportamento excessivamente permissivo do BIND ao aceitar registros de resposta (RRs) não solicitados. Em determinadas circunstâncias, o software não valida corretamente a origem desses registros, permitindo que um atacante insira dados falsificados no cache DNS.

Esse tipo de ataque, conhecido como DNS cache poisoning, pode levar usuários a endereços maliciosos mesmo quando digitam o domínio correto, comprometendo sites corporativos, portais de autenticação e serviços críticos.

O problema afeta diversas versões do BIND 9, incluindo:

9.11.0 a 9.16.50
9.18.0 a 9.18.39
9.20.0 a 9.20.13
9.21.0 a 9.21.12
e também versões suportadas comercialmente (S1), entre 9.11.3-S1 e 9.20.13-S1.

A ISC publicou correções e recomenda fortemente que administradores atualizem imediatamente para as versões corrigidas.

CVE-2025-40780: Previsibilidade no PRNG e novos riscos de envenenamento de cache

A segunda vulnerabilidade, CVE-2025-40780, está relacionada ao Gerador de Números Pseudoaleatórios (PRNG) usado pelo BIND.

Em cenários específicos, um atacante pode prever valores como a porta de origem e o ID da consulta DNS, abrindo brechas para a injeção de respostas falsificadas.

A previsibilidade do PRNG reduz drasticamente a entropia das requisições, tornando o ataque de spoofing de resposta DNS mais viável. O impacto é semelhante ao da CVE-2025-40778, envenenamento de cache e redirecionamento malicioso, mas o vetor técnico difere: aqui, o problema está na geração fraca de aleatoriedade durante o envio das consultas.

A falha afeta versões de 9.16.0 a 9.21.12, além das edições comerciais (S1) correspondentes.

Impactos e riscos para as organizações

O envenenamento de cache DNS é um tipo de ataque particularmente perigoso por ser silencioso e de amplo alcance. Uma vez comprometido, o servidor pode servir respostas falsas a múltiplos usuários e dispositivos, redirecionando o tráfego legítimo para sites de phishing, servidores controlados por atacantes ou redes utilizadas para injeção de malware.

Empresas que operam servidores autoritativos ou recursivos BIND estão especialmente expostas, e o impacto pode incluir roubo de credenciais, interceptação de dados, sequestro de sessões e comprometimento de reputação corporativa.

Mitigações recomendadas

A ISC já disponibilizou atualizações que corrigem as duas vulnerabilidades.
Administradores devem:

Atualizar imediatamente o BIND para as versões corrigidas;
Monitorar logs de consultas e respostas DNS para detecção de comportamento anômalo;
Implementar medidas adicionais de segurança, como DNSSEC, para autenticação criptográfica das respostas DNS;
Isolar servidores recursivos expostos à internet e revisar políticas de cache.

Essas ações reduzem significativamente a probabilidade de exploração bem-sucedida e fortalecem a postura de segurança das infraestruturas DNS corporativas.

As vulnerabilidades CVE-2025-40778 e CVE-2025-40780 reforçam a importância da manutenção proativa e da atualização contínua de componentes críticos da infraestrutura digital.

O BIND 9 continua sendo uma peça central da internet moderna, mas sua ampla adoção também o torna um alvo recorrente de pesquisas e ataques.

Empresas que tratam a segurança do DNS como prioridade não apenas evitam incidentes de alto impacto, mas também garantem a confiabilidade de toda a sua cadeia de comunicação digital.

This post is also available in: Português

Diagnóstico que avalia a nível de conformidade com a Lei Geral de Proteção de Dados

Fazer diagnóstico

Ebooks 5 Dicas para evitar sequestro de dados

Nossas 5 dicas fundamentais para evitar sequestro de dados

Baixar eBook

Ebooks 10 dicas essenciais para aquisição de firewalls

Conheça os principais tópicos a serem considerados na aquisição de um firewall.

Baixar eBook

Ebooks Guia Lei Geral de Proteção de Dados

Documento completo para ambientalização à Lei Geral de Proteção de Dados

Baixar eBook

Sobre o BIND e seu papel na infraestrutura da internet

CVE-2025-40778: Envenenamento de cache com registros não solicitados

CVE-2025-40780: Previsibilidade no PRNG e novos riscos de envenenamento de cache

Impactos e riscos para as organizações

Mitigações recomendadas

CVE-2025-41244: Broadcom corrige vulnerabilidade ativamente explorada no VMware Aria Operations e no VMware Tools

Cadastre-se em nossa newsletter