【安全圈】70 万台 BIND 9 解析器暴露在外

关键词

BIND 9

网络扫描公司 Censys 公布的一项最新分析显示，全球超过 70.6 万台暴露在互联网上的 BIND 9 递归解析器存在高危漏洞，攻击者可利用该缺陷实施缓存投毒攻击，将用户流量重定向至恶意网站。

漏洞编号为CVE-2025-40778，CVSS 评分8.6，由 BIND 解析逻辑中过度宽松的响应数据处理机制引起。受影响的系统在接收未经请求的资源记录（Resource Record, RR）时未能严格执行“权属域（bailiwick）检查”，导致攻击者可以伪造 DNS 响应，在缓存中注入伪造的 IP 地址或域名记录。

该问题主要影响 BIND 9.11.0 至 9.16.50、9.18.0 至 9.18.39、9.20.0 至 9.20.13 以及 9.21.0 至 9.21.12 版本，包含部分预览版。仅开启递归功能的服务器受影响，权威服务器若未启用递归则不受波及。

BIND 作为互联网域名解析的核心组件之一，其漏洞直接威胁到企业、ISP、政府机构的网络安全。缓存一旦被投毒，用户可能在不知情的情况下访问攻击者控制的网站，造成钓鱼、数据窃取或通信中断等严重后果。

漏洞披露后，安全研究员N3mes1s已在 GitHub 上发布了漏洞的概念验证（PoC）代码，演示如何在受控环境下伪造响应包并实现缓存注入。尽管 PoC 声称仅用于教育目的，但安全专家警告其可能被快速武器化，尤其是针对未及时修补的系统。

截至 2025 年 10 月 25 日，尚无野外利用报告，但 PoC 的公开以及相关漏洞（如 CVE-2025-40780）同时曝光，使得风险显著上升。值得注意的是，启用DNSSEC的完整验证域名不受直接影响，但若实现不完善仍可能被绕过。

目前，ISC 官方已发布修复版本，建议尽快升级至：

• 9.18.41

• 9.20.15

• 9.21.14及以上版本

对于无法立即升级的组织，可采取以下缓解措施：

• 将递归解析限制在可信网络范围内（ACL 控制）；

• 启用DNSSEC校验机制；

• 监控缓存记录变化，及时检测异常；

• 禁用附加区缓存或对查询进行速率限制。

Censys 的扫描数据显示，实际受影响数量可能远高于 70 万，因为许多企业内部或防火墙后的 BIND 实例未被计入统计。随着漏洞利用门槛的降低，此事件再次提醒网络管理者：DNS 作为互联网最基础却最脆弱的环节之一，其安全维护需要更高优先级。

ISC 表示，未来版本将强化响应验证逻辑，以应对日益复杂的 DNS 投毒与欺骗攻击。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！