Milhares de servidores DNS que executam o BIND 9, incluindo cerca de 130 no Brasil, não possuem uma atualização de segurança para duas vulnerabilidades importantes que permitem o envenenamento de cache. Uma Fundação Shadowserver divulgou essa informação com base em sua própria pesquisa . O Centro Nacional de Segurança Cibernética (NCSC) já relatou que espera que aventureiros explorem essas vulnerabilidades.
Leia também
BIND tem duas falhas críticas de DNS
Hackers usam tunelamento DNS para rastrear vítimas
BIND significa domínio de nomes de Internet de Berkeley. É o software de servidor DNS mais popular na internet e traduz nomes de domínio em endereços IP. As duas vulnerabilidades em questão ( CVE-2025-40778 e CVE-2025-40780 ) permite que um atacante engane o servidor DNS para que ele forneça respostas incorretas às interrupções do usuário. Em vez de fornecer o endereço IP correto, o servidor retorna um endereço IP falso ao usuário, causando um redirecionamento incorreto. Isso é chamado de envenenamento de cache.
As atualizações para as duas vulnerabilidades foram lançadas no final de outubro. A CVE-2025-40780 diz respeito a uma falha no Gerador de Números Pseudoaleatórios (PRNG) usado pelo BIND 9, permitindo que um caçador pré-veja a porta de origem e o ID da consulta que o BIND usará. A outra vulnerabilidade, CVE-2025-40778, faz com que o BIND 9 aceite registros de resposta com muita facilidade, permitindo que os atacantes injetem dados falsificados no cache do servidor BIND 9.
As vulnerabilidades permitem o envenenamento de cache, redirecionando usuários da internet para locais maliciosos. A Shadowserver Foundation realizou uma varredura online de servidores BIND 9 e detectou mais de 8.200 que não possuem a atualização de segurança lançada. Destes, aproximadamente estão localizados na Holanda. O maior número de servidores BIND, 9 ainda vulneráveis, quase 1.300, foram coletados nos Estados Unidos.
