NCSC waarschuwt voor aanstaande aanvallen op gaten in veelgebruikte DNS-software

Het Nederlandse Nationaal Cyber Security Centrum verwacht op korte termijn aanvallen op DNS‑software BIND 9. Die veelgebruikte opensourcesoftware voor het vertalen van domeinnamen naar IP-adressen bevat drie kritieke kwetsbaarheden. Patches en poc-code zijn al verschenen.

Het Nationaal Cyber Security Centrum van de Nederlandse overheid waarschuwt voor aanstaande hackaanvallen, omdat de kwetsbaarheden in BIND 9 te misbruiken zijn om internetgebruikers ongemerkt om te leiden naar kwaadwillige sites. Bij dit zogeheten cachepoisoning geeft het domain name system verkeerde antwoorden op verzoeken om domeinnamen van sites om te zetten in IP-adressen van servers. Beveiligingsonderzoekers hebben proof-of-conceptcode gepubliceerd en het NCSC verwacht dat kwaadwillenden die snel omzetten in werkende aanvalscode.

De ontwikkelaar van de BIND 9-software, het Internet Systems Consortium, heeft al updates uitgebracht om de drie kwetsbaarheden te verhelpen. Beheerders van DNS-systemen met BIND 9 moeten deze patches zo snel mogelijk installeren. Volgens het NCSC is het 'onwaarschijnlijk dat de BIND-server zelf gecompromitteerd kan worden', maar toch is er sprake van acuut gevaar.

De drie kwetsbaarheden in BIND 9 bevinden zich in de DNS-resolvers van de software. "De eerste kwetsbaarheid stelt aanvallers in staat om vervalste DNS-records in de cache te injecteren, wat kan leiden tot het omleiden van clients naar kwaadaardige domeinen", legt het NCSC uit. De tweede kwetsbaarheid is een bug in de generator van willekeurige getallen en geeft aanvallers de mogelijkheid om bronpoorten en query-ID's te voorspellen, waarna ze cachepoisoningaanvallen kunnen uitvoeren.

De derde kwetsbaarheid maakt ddos-aanvallen mogelijk. Ongeauthenticeerde aanvallers kunnen daardoor misvormde Dnskey-records verzenden, wat zorgt voor hoge processorbelasting en een DNS-server onbereikbaar kan maken voor legitieme clientsystemen.

"Op dit moment wordt (nog) geen actief misbruik waargenomen", meldt het NCSC in zijn beveiligingsadvies. Volgens securitybedrijf Censys zijn er wereldwijd ruim 706.000 servers vatbaar voor de eerste (CVE-2025-40778) van de drie kwetsbaarheden. De updates van ISC kwamen vorige week uit en de poc-code volgde snel daarna.

Door Jasper Bakker

Nieuwsredacteur

Feedback • 27-10-2025 15:39
11 • submitter: HKLM_

27-10-2025 • 15:39

11

Submitter: HKLM_

Lees meer

Amazon: bug geautomatiseerd DNS-database zorgde voor kettingreactie AWS-storing
Amazon: bug geautomatiseerd DNS-database zorgde voor kettingreactie AWS-storing Nieuws van 24 oktober 2025
Europese publieke DNS-resolver dns0 stopt per direct vanwege tijd- en geldgebrek
Europese publieke DNS-resolver dns0 stopt per direct vanwege tijd- en geldgebrek Nieuws van 21 oktober 2025
PowerDNS-maker start NerdVote om techdeskundigen hoger op kieslijsten te krijgen
PowerDNS-maker start NerdVote om techdeskundigen hoger op kieslijsten te krijgen Nieuws van 28 augustus 2025
Europese DNS-resolver DNS4EU die websites kan filteren is beschikbaar
Europese DNS-resolver DNS4EU die websites kan filteren is beschikbaar Nieuws van 5 juni 2025
Meer producten en artikelen
Beveiliging en antivirus Systeem- en netwerkutility's Netwerk en systeembeheer Serversoftware Politiek en recht Bind Cache Cybercrime Cybersecurity Ddos Dns Domeinnamen NCSC Security

Reacties (11)

-Moderatie-faq
11
11
8
1
0
2
Wijzig sortering

Sorteer op:

Weergave:
bazzi 27 oktober 2025 17:00
Previous versions of this advisory overestimated the number of affected servers due to only keying off versions, however only recursive resolvers are affected. Numbers have been updated to reflect more accurate counts.

Aldus: https://censys.com/advisory/cve-2025-40778

Dus gebruik je bind niet als recursive dns resolver, dan is het mogelijk dus niet zo gevaarlijk. Mogelijk als mitigatie recursive uitzetten?

UPDATE:

Mitigations
  • Upgrade resolvers to a patched release (9.18.41, 9.20.15, 9.21.14, or newer maintenance builds) as provided by ISC.
  • Until upgrades are complete, restrict recursion to trusted clients, employ DNSSEC validation, and monitor caches for unexpected RRsets. Note these measures reduce but do not eliminate risk.
https://gist.github.com/N3mes1s/f76b4a606308937b0806a5256bc1f918#mitigations

en

Impact:

Forged records can be injected into cache during a query, which can potentially affect resolution of future queries.https://kb.isc.org/docs/cve-2025-40778

kortom als je resolvers niet gebruikt, dan lijkt het mee te vallen. Er zijn betere recursive dns servers beschikbaar dan bind, zelf gebruiken we unbound (met ip limits) en staat de recursive overal uit bij bind.

[Reactie gewijzigd door bazzi op 27 oktober 2025 17:05]

Reageer
BernardV 27 oktober 2025 16:36
DirectAdmin wordt ook vaak gebruikt in combinatie met bind (named).
Dus iedereen die DirectAdmin gebruikt met bind open voor queries kan een probleem hebben.
Reageer
DrFlash @BernardV27 oktober 2025 19:55
In DirectAdmin, Cpanel en andere webhosting software staat de DNS server standaard alleen op Authorative, en niet Recursive, deze bug zal dus geen impact hebben mits je zelf aanpassingen hebt gemaakt.
Reageer
spasma @DrFlash28 oktober 2025 08:51
Ik denk dat je 'tenzij' bedoelt ipv mits. De bug heeft namelijk juist wel impact als je aanpassingen hebt gemaakt
Reageer
Kets_One 27 oktober 2025 17:33
@bazzi wees je ervan bewust dat je niet alleen kwetsbaar bent als je zelf BIND draait maar ook als je gebruik maakt van een publieke DNS dienst zoals bijvoorbeeld QUAD9. Deze maakt namelijk ook gebruik van BIND.
Reageer
bazzi @Kets_One27 oktober 2025 21:47
Klopt en andere:

Incoming queries are first triaged by dnsdist from PowerDNS, then routed to either Unbound, PowerDNS Recursor, or BIND 9.

Bron: https://www.isc.org/blogs/quad9-2020-06/

persoonlijk zou ik als ik hun was de bind9 even uit de mix halen ;)
Reageer
d3burt @bazzi28 oktober 2025 15:39
Ik zou persoonlijk gewoon snel patchen, en de informatiekanalen goed in de gaten houden. Unbound heeft ook een patch nodig: https://nlnetlabs.nl/projects/unbound/security-advisories/

Nu nog even de patches ook door Redhat beschikbaar laten maken...
Reageer
desalniettemin @Kets_One28 oktober 2025 08:38
En NextDNS? Ik gebruik die. Of kan je nu misschien beter je browser laten kiezen welke te gebruiken? De eerste optie in Firefox onder Privacy & Security?
Reageer
DDX 27 oktober 2025 16:33
Red Hat heeft nog geen update....
https://access.redhat.com/security/cve/cve-2025-40778
Reageer
lenwar
27 oktober 2025 16:52
Goed dat hier direct veel aandacht voor is. DNS is essentieel voor. Nou ja. Alles. Het doet gigantisch veel tegenwoordig. Het is allang veel meer dan alleen maar een 'adresboek'. (mailserver verificatie (SPF/DKIM/enz.), TLS-certificaatuitgevers verifieren, en nog meer.)

Hieraan zien we dus ook gelijk hoe essentieel zaken als DoH, DoT, DoQ. Welke dan ook, in elk geval versleutelde DNS is. Tussen zowel de software (direct, buiten het besturingssysteem om!) en de DNS-recursor (of server), en tussen de DNS-recursor en de DNS-server.) Ieder stuk software en ieder apparaat dat tussen je software en de DNS-server komt, is een potentieel gevaar, zowel qua privacy (je ISP/netwerkprovider/router/switch/enz. hoeft niet per se te zien welke DNS-verzoeken je doet) en veiligheid. (een willekeurig stukje malware kan onversleutelde DNS makkelijk manipuleren, waardoor je ongemerkt verkeerd uitkomt - Nou moet er natuurlijk nog wel wat anders gebeuren, gezien vrijwel alles https is tegenwoordig, maar het is toch gewoon een eerste stap.)
Reageer
HollowGamer 27 oktober 2025 18:10
"NCSC waarschuwt voor aanstaande aanvallen op gaten in BIND 9"

Of levert dat te weinig hits op?
Reageer


Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq