Entwickler der weit verbreiteten DNS-Software BIND haben vor zwei schwerwiegenden Sicherheitslücken gewarnt. Die Schwachstellen, die unter den Kennungen CVE-2025-40778 und CVE-2025-40780 geführt werden, könnten es Angreifern ermöglichen, DNS-Caches zu manipulieren und Nutzer auf gefälschte Webseiten umzuleiten. Auch die alternative DNS-Software Unbound ist von ähnlichen Problemen betroffen.
Wichtige Erkenntnisse
- Zwei als hoch eingestufte Sicherheitslücken (CVE-2025-40778, CVE-2025-40780) wurden in der DNS-Software BIND identifiziert.
- Die Schwachstellen ermöglichen eine Form des DNS-Cache-Poisoning, bei der Angreifer Nutzer auf bösartige Webseiten umleiten können.
- Eine der Lücken schwächt Schutzmaßnahmen, die nach dem berühmten Kaminsky-Angriff von 2008 eingeführt wurden.
- Sicherheitsupdates für BIND und die ebenfalls betroffene Software Unbound stehen zur Verfügung und sollten umgehend installiert werden.
Zwei kritische Fehler in BIND entdeckt
Die Internet Systems Consortium (ISC), die Organisation hinter BIND, hat Patches für zwei Schwachstellen veröffentlicht, die beide mit einem Schweregrad von 8,6 auf einer Skala von 10 bewertet wurden. Solche Bewertungen weisen auf ein erhebliches Risiko für betroffene Systeme hin.
Die erste Schwachstelle, CVE-2025-40780, betrifft den Zufallszahlengenerator (Pseudo-Random Number Generator, PRNG) der Software. Unter bestimmten Umständen kann ein Angreifer den von BIND für Anfragen verwendeten Quellport und die Transaktions-ID vorhersagen. Dies untergräbt eine zentrale Verteidigungslinie gegen Cache-Poisoning-Angriffe.
Die zweite Lücke, CVE-2025-40778, ist auf einen Logikfehler zurückzuführen. BIND ist bei der Annahme von DNS-Antworten zu nachsichtig, was es einem Angreifer erlaubt, gefälschte Daten in den Cache einzuschleusen. Diese manipulierten Einträge können dann die Auflösung zukünftiger Anfragen beeinflussen.
Parallel dazu meldeten auch die Entwickler der DNS-Resolver-Software Unbound eine ähnliche, von denselben Forschern gemeldete Schwachstelle. Diese wurde jedoch mit einem geringeren Schweregrad von 5,6 eingestuft.
Was ist DNS-Cache-Poisoning?
Das Domain Name System (DNS) funktioniert wie das Telefonbuch des Internets. Wenn Sie eine Webadresse wie digirion.com eingeben, übersetzt ein DNS-Resolver diesen Namen in eine IP-Adresse (z. B. 192.168.1.1), mit der Ihr Computer sich verbinden kann. Beim Cache-Poisoning schleust ein Angreifer eine falsche IP-Adresse in den Zwischenspeicher (Cache) des Resolvers ein. Künftige Anfragen für die legitime Webseite werden dann an die bösartige IP-Adresse des Angreifers weitergeleitet, ohne dass der Nutzer dies bemerkt.
Erinnerungen an den Kaminsky-Angriff von 2008
Die aktuellen Schwachstellen wecken Erinnerungen an eine der gravierendsten Sicherheitsbedrohungen in der Geschichte des Internets. Im Jahr 2008 deckte der Forscher Dan Kaminsky eine grundlegende Schwäche im DNS-Protokoll auf, die großflächiges Cache Poisoning ermöglichte.
Damals basierte die Sicherheit von DNS-Anfragen auf einer 16-Bit-Transaktions-ID. Da es nur 65.536 mögliche IDs gab, konnte ein Angreifer einen DNS-Resolver mit gefälschten Antworten bombardieren und mit relativ hoher Wahrscheinlichkeit die richtige ID erraten. Gelang dies, konnte er den Cache vergiften und den Datenverkehr für große Nutzergruppen umleiten.
Die damalige Lösung wird nun geschwächt
Als Reaktion auf Kaminskys Entdeckung koordinierte sich die gesamte Branche, um eine Lösung zu implementieren. Die wichtigste Änderung war die Einführung der Quellport-Randomisierung. Anstatt Anfragen immer vom selben Port (53) zu senden, wählten DNS-Resolver nun einen zufälligen Port aus Tausenden von Möglichkeiten. Eine Antwort wurde nur akzeptiert, wenn sie an den korrekten Port zurückgesendet wurde.
Diese Maßnahme erhöhte die Anzahl der möglichen Kombinationen aus Transaktions-ID und Port auf mehrere Milliarden, was das Erraten praktisch unmöglich machte. Die nun entdeckte Schwachstelle CVE-2025-40780 in BIND schwächt genau diesen Schutzmechanismus, indem sie die Vorhersagbarkeit des Ports und der ID wieder erhöht.
Die Kombination aus einer 16-Bit-Transaktions-ID und der Randomisierung von Tausenden von Ports erhöhte die für einen erfolgreichen Angriff erforderliche Entropie exponentiell und machte das Internet nach 2008 deutlich sicherer.
Das tatsächliche Risiko ist begrenzt
Obwohl die Schwachstellen ernst sind, ist die Situation nicht mit dem potenziellen Weltuntergangsszenario von 2008 vergleichbar. Mehrere moderne Schutzmechanismen sind weiterhin wirksam und erschweren einen erfolgreichen Angriff erheblich.
Experten weisen darauf hin, dass die Ausnutzung der Lücken als „nicht trivial“ gilt. Sie erfordert Netzwerk-Spoofing und präzises Timing. Zudem sind die autoritativen DNS-Server selbst nicht verwundbar, was den potenziellen Schaden begrenzt.
„Da die Ausnutzung nicht trivial ist, Netzwerk-Spoofing und präzises Timing erfordert und nur die Cache-Integrität ohne Server-Kompromittierung betrifft, wird die Schwachstelle als wichtig und nicht als kritisch eingestuft.“ – Einschätzung von Red Hat zu CVE-2025-40780
Zusätzliche Sicherheitsmaßnahmen, die heute als Standard gelten, tragen ebenfalls zur Risikominderung bei:
- DNSSEC (Domain Name System Security Extensions): Diese Technologie stellt durch digitale Signaturen sicher, dass DNS-Antworten authentisch und unverändert sind.
- Rate Limiting: Server können so konfiguriert werden, dass sie die Anzahl der Anfragen von einer einzigen Quelle begrenzen, was Brute-Force-Angriffe erschwert.
- Firewall-Konfigurationen: Ordnungsgemäß konfigurierte Firewalls können verdächtigen Datenverkehr blockieren.
Handlungsempfehlung: Updates umgehend installieren
Trotz der mildernden Umstände stellen die Schwachstellen ein reales Risiko für Organisationen dar, die veraltete Versionen von BIND oder Unbound einsetzen. Ein erfolgreicher Angriff könnte Nutzer auf Phishing-Seiten leiten, um Anmeldedaten zu stehlen, oder sie mit Malware infizieren.
Administratoren von DNS-Servern werden dringend aufgefordert, die von den Entwicklern bereitgestellten Sicherheitspatches so schnell wie möglich zu installieren. Die Aktualisierungen schließen die beschriebenen Lücken und stellen die Integrität der DNS-Auflösung wieder her.
