概要

Internet Systems Consortium (ISC) は、世界で最も広く展開されているDNSソフトウェアであるBIND 9に3つの重大な脆弱性を公表しました。これらの脆弱性は2025年10月22日に公開され、DNSリゾルバーに影響を与え、世界中の何百万ものユーザーに潜在的な影響を及ぼす可能性があります。影響を受けるBIND 9バージョンを実行している組織は、悪用を防ぐために直ちにパッチを適用することを優先する必要があります。

脆弱性の詳細

これら3つの脆弱性は、DNS解決の整合性と可用性を損なう可能性のある異なる攻撃ベクトルにDNSインフラストラクチャを晒します。DNSはインターネット機能の基盤であるため、これらの脆弱性は企業ネットワーク、インターネットサービスプロバイダー、および正確なドメイン名解決に依存するすべての人にとって特に懸念されます。これらの欠陥を悪用する攻撃者は、ユーザーを悪意のあるウェブサイトにリダイレクトしたり、通信を傍受したり、サービス拒否攻撃を開始したりする可能性があります。

2つの脆弱性はCVSSスコア8.6で重大な深刻度を示し、残りの1つは7.5で高リスクに分類されます。これら3つすべては、認証を必要とせずにネットワークベースのリモートエクスプロイトが可能であり、適切な条件下では比較的簡単に攻撃できます。

CVE IDと深刻度

• CVE-2025-8677: 不正な形式のDNSKEY処理によるリソース枯渇 (CVSS 3.1: 7.5, 深刻度: 高)
• CVE-2025-40778: 未承諾RRによるキャッシュポイズニング攻撃 (CVSS 3.1: 8.6, 深刻度: 高)
• CVE-2025-40780: 弱いPRNGに起因するキャッシュポイズニング (CVSS 3.1: 8.6, 深刻度: 高)

各脆弱性の解説

CVE-2025-8677は、不正な形式のDNSKEYレコードを悪用してCPU過負荷によるリソース枯渇を引き起こします。DNSリゾルバーがこれらの不正な形式のレコードを含む特別に作成されたゾーンを照会すると、サーバーが過負荷になり、正当なクライアントに対するサービス拒否につながります。この脆弱性は、エンドユーザーからのDNSクエリを処理する再帰リゾルバーを特に脅かします。

CVE-2025-40778とCVE-2025-40780は両方ともキャッシュポイズニング攻撃を可能にし、攻撃者が偽造されたDNSレコードをリゾルバーのキャッシュに注入できるようにします。CVE-2025-40778は寛容なレコード受け入れポリシーを悪用し、CVE-2025-40780はBINDの擬似乱数生成器の弱点を悪用し、攻撃者がソースポートとクエリIDを予測できるようにします。キャッシュが正常にポイズニングされると、その後のDNSクエリに影響を与え、ユーザーを攻撃者によって制御されるインフラストラクチャに無期限にリダイレクトする可能性があります。

推奨される対策

組織は、直ちにパッチが適用されたBIND 9バージョンにアップグレードする必要があります。具体的には、バージョン9.18.41、9.20.15、または9.21.14へのアップグレードが推奨されます。プレビュー版ユーザーは、バージョン9.18.41-S1または9.20.15-S1にアップグレードする必要があります。

現在、既知のアクティブなエクスプロイトは存在せず、回避策も利用できません。そのため、パッチ適用が唯一の緩和戦略となります。

発見者

これらの問題は、清華大学と南開大学の脆弱性研究チームによって発見されました。これは、DNSインフラストラクチャに対する継続的なセキュリティ研究の焦点を実証するものです。

---

元記事: https://gbhackers.com/bind-9-vulnerabilities-expose-dns-servers/