Une vulnérabilité de haute gravité (CVE-2025-40778) affectant les résolveurs DNS BIND 9 pourrait être exploitée par des attaquants distants non authentifiés pour manipuler les entrées DNS via un empoisonnement du cache, leur permettant ainsi de rediriger le trafic Internet vers des sites potentiellement malveillants, de distribuer des logiciels malveillants ou d’intercepter le trafic réseau.
Bien que les attaquants n’aient pas encore été repérés en train d’exploiter cette faille, un code d’exploitation de preuve de concept (PoC) a été publié, ce qui rend essentiel pour les administrateurs de corriger les résolveurs accessibles sur Internet.
Qu’est-ce que BIND 9 ?
BIND (v)9 est la dernière et la seule version activement maintenue de Berkeley Internet Name Domain, la suite logicielle DNS développée par l’Internet Systems Consortium (ISC).
La suite permet aux systèmes – exécutant principalement des distributions Linux et de type Unix – d’agir comme :
- Des serveurs DNS publicitaires (faisant autorité), qui stockent et servent les enregistrements DNS officiels des domaines, et/ou
- Serveurs récursifs (résolvants), qui effectuent des recherches DNS pour le compte des clients en interrogeant d’autres serveurs DNS et peuvent mettre en cache les réponses pour accélérer les recherches futures.
Les résolveurs sont généralement configurés par les FAI, les organisations ou les réseaux privés pour gérer les requêtes DNS de leurs utilisateurs.
À propos de CVE-2025-40778
CVE-2025-40778 peut entraîner un empoisonnement du cache car, comme l’explique l’ISC, « dans certaines circonstances, BIND est trop indulgent lorsqu’il accepte les enregistrements des réponses ».
Les attaquants peuvent l’utiliser pour injecter de faux enregistrements (c’est-à-dire des mappages de domaine IP) dans le cache du résolveur lors d’une requête, et ainsi potentiellement affecter la résolution des requêtes futures et rediriger les utilisateurs vers des actifs contrôlés par l’attaquant.
La vulnérabilité affecte diverses versions de BIND 9 et BIND Supported Preview Edition et a été corrigée dans les versions 9.18.41, 9.20.15 et 9.21.14 de BIND 9, ainsi que dans les versions 9.18.41-S1 et 9.20.15-S1 de BIND Supported Preview Edition. Ces versions corrigées contiennent également des correctifs pour une vulnérabilité supplémentaire d’empoisonnement du cache et un problème pouvant conduire à un déni de service.
Les trois vulnérabilités corrigées affectent les serveurs DNS récursifs et, selon l’Office fédéral allemand de la sécurité de l’information (BSI), les serveurs DNS faisant autorité sur lesquels la fonctionnalité récursive est activée par erreur ou intentionnellement.
Il n’existe aucune solution de contournement connue pour ces vulnérabilités. Il est donc conseillé aux administrateurs de mettre à niveau dès que possible vers la version corrigée la plus étroitement liée à leur version actuelle de BIND 9.
De nombreuses distributions Linux ont déjà intégré le correctif ou publieront bientôt des correctifs.
De manière générale, le BSI conseille aux opérateurs de serveurs DNS récursifs de :
- Restreindre la récursivité aux clients de confiance
- Activer la validation DNSSEC
- Surveiller l’activité du cache pour les enregistrements inattendus, et
- Réduisez le temps de mise en cache maximum à 24 heures ou moins (afin que les éventuelles entrées empoisonnées ne persistent pas pendant des jours).
Abonnez-vous à notre alerte e-mail de dernière minute pour ne jamais manquer les dernières violations, vulnérabilités et menaces de cybersécurité. Abonnez-vous ici !
