Cibercriminosos podem falsificar respostas DNS e redirecionar usuários para sites maliciosos. Os desenvolvedores do BIND, o software de resolução de nomes de domínio mais utilizados no mundo, alertaram para duas vulnerabilidades críticas que permitem a invasores falsificar resultados de consultas DNS e direcionar vítimas para páginas fraudulentas, visualmente idênticas às originais.
CVE-2025-40778 e CVE-2025-40780 representam risco elevado
Erros identificados como CVE-2025-40778 e CVE-2025-40780 apresentam alta classificação de severidade (8,6). A primeira correção de um erro lógico no processamento de respostas DNS. Ó segundo é resultado do enfraquecimento do mecanismo gerador de números pseudoaleatórios. Patches para corrigir ambos os problemas foram publicados na quarta-feira. Vulnerabilidades semelhantes também apareceram no resolvedor Unbound, onde receberam classificações de 5,6.
Envenenamento de cache DNS relembra ataque histórico
Ambos os erros permitem envenenar caches DNS, trocando endereços IP legítimos por maliciosos. O cenário remete ao famoso ataque contra a infraestrutura DNS projetada por Dan Kaminsky em 2008. Na época, ele mostrou que o envio massivo de pacotes UDP falsos possibilitava o envio de IDs de transferência, permitindo a falsificação de IPs para qualquer domínio, incluindo Google ou Bank of America.
Mudanças históricas e retorno do risco
Em resposta ao ataque original, a indústria implementou proteções como a seleção selecionada de portas (em vez da porta fixa 53) nos resolvedores, aumentando a entropia e tornando praticamente impossível acertar a combinação correta.
No entanto, a nova vulnerabilidade CVE-2025-40780 volta a enfraquecer essas barreiras. Segundo os desenvolvedores do BIND, a habilidade do gerador pseudoaleatório embutido facilita para o aventureiro prever qual porta e qual identificador de consulta o resolvedor vai usar e, assim, falsificar respostas.
Impacto, exploração e orientações de atualização
A segunda vulnerabilidade, CVE-2025-40778, se relaciona ao fato de o BIND realizar verificações ocultas permissivas sobre os registros recebidos, por vezes aceitando dados falsos. Isso permite a injeção de respostas DNS fraudulentas no cache, afetando as consultas a seguir.
Apesar dos novos bugs não representarem perigo no nível do ataque de Kaminsky, as consequências ainda podem ser consideráveis. Servidores DNS autorizados não são vulneráveis, mas resolvedores dentro de redes corporativas permanecem em risco, especialmente se não utilizarem proteções adicionais.
A Red Hat observou que a exploração dessas vulnerabilidades não é trivial. O ataque exige falsificação de rede, a sincronia precisa dos tempos e não resulta no controle do servidor. Mesmo assim, a empresa recomenda instalar as atualizações imediatamente.
Medidas modernas como DNSSEC, limitações de taxas e firewalls continuam contendo a maioria dessas investidas. Contudo, para quem utiliza versões antigas de BIND ou Unbound sem registros registrados, o risco é real. As atualizações já podem ser baixadas nos sites do ISC e da NLnet Labs.
