Alvorlig DNS-sårbarhed: Én pakke kan omdirigere hele dit netværk

Eskil Sørensen

11.13.2025 10:33

POC udviklet

En ny og meget alvorlig sårbarhed i DNS-systemet – den teknologi der oversætter webadresser til IP-adresser – er blevet opdaget. Faktisk blev den fundet tilbage i oktober, men nu er der udviklet en POC, hvilket gør det mere aktuelt end nogensinde at håndtere den.

Den påvirker BIND 9, som er en af de mest udbredte DNS-servere i verden, også i universitets- og forskningsmiljøer.

Det er mediet senki.org, der bringer historien om POC'en. Senki drives og skrives af Barry Raveendran Greene. Han ses som en erfaren netværks- og sikkerhedsekspert, der i mange år har arbejdet med DNS-sikkerhed, routinghygiejne og trusselsanalyse

Sårbarheden har id’et EUVD-2025-35581 / CVE-2025-40778 og en CVSS-score på 8,6. EPSS-scoren er pt. 0,01 pct. men den ventes at stige efterhånden rygterne om POC-exploiten bredes i miljøet.

Sårbarheden vurderes at være langt mere omfattende og farlig end en klassisk resolverfejl. Sårbarheden gør det muligt for angribere at forgifte DNS-cachen med blot ét eller to pakker – og det gælder ikke kun offentligt tilgængelige servere, men også interne DNS-resolvere bag firewalls og i sikre netværk.

Kort TTL

Fejlen ligger i BIND 9’s håndtering af DNS-svar, hvor serveren accepterer ressourceposter (RRs), der ligger uden for den autoritative zone – også kaldet “bailiwick”. Det betyder, at en angriber, der kontrollerer en autoritativ DNS-server, kan sende et svar med både legitime og falske DNS-poster, som resolveren ukritisk gemmer i sin cache.

Det kræver ingen avanceret teknik: én forespørgsel og ét svar – og så er cachen forgiftet. Med en TTL på 24 timer kan én injektion påvirke alle brugere, der benytter den DNS-server, i et helt døgn. TTL står for Time To Live, og i DNS-sammenhæng betyder det, hvor længe en DNS-post må gemmes i en cache, før den skal opdateres fra den autoritative kilde.

Intet behov for brute-force

Angrebet kræver minimal indsats: Ingen brute-force, ingen gæt af transaktions-ID’er, ingen særlige rettigheder. Der er en offentlig proof-of-concept-kode er tilgængelig og sårbarheden har eksisteret i flere år og findes i versioner fra BIND 9.11.0 til 9.21.12.

Det er ikke kun DNS-servere, der er åbne mod internettet, der er påvirkede. Sårbarheden rammer også:

DNS-servere bag firewalls
DNS-systemer i cloud-miljøer og datacentre
DNS-tjenester i universitetsnetværk og forskningsinfrastruktur
Internetudbyderes interne DNS-systemer
Edge-netværk og filialer

Kort sagt: Hvis man har har en BIND 9-server, der håndterer forespørgsler, er man i risikozonen.

Derfor skal man opdatere BIND 9 til den nyeste version med det samme. Derudover anbefales følgende:

Deaktiver recursion, hvis det ikke er nødvendigt
Overvej at aktivere DNSSEC, som kan beskytte mod denne type angreb
Undersøg din DNS-konfiguration – også selvom serveren ikke er direkte tilgængelig fra internettet
Monitor DNS-trafik for usædvanlige svar og TTL-værdier

Læs mere

https://www.senki.org/cve-2025-40778-uncovering-the-real-dns-vulnerability-risks/?trk=feed_main-feed-card_feed-article-content

Sårbarhed