İnternet Sistemleri Konsorsiyumu (ISC), 22 Ekim 2025’te BIND 9’da, uzak saldırganların önbellek zehirlenmesi saldırıları gerçekleştirmesine veya etkilenen DNS çözümleyicilerde hizmet reddi (DoS) koşullarına neden olma potansiyeline sahip üç yüksek önem dereceli güvenlik açığını açıkladı.
CVE-2025-8677, CVE-2025-40778 ve CVE-2025-40780 olarak takip edilen bu kusurlar öncelikle kuruluşlar tarafından alan adı çözümlemesi için kullanılan özyinelemeli çözümleyicileri etkileyerek yetkili DNS sunucularını büyük ölçüde etkilemez.
BIND, internetin DNS altyapısının önemli bir bölümünü desteklediğinden, hizmet kesintileri ve kötü niyetli yeniden yönlendirme risklerini azaltmak için yöneticilerin hemen yamaları uygulamaları isteniyor.
Çözücü Mantığında Açığa Çıkan Kusurlar
CVE-2025-8677, özel hazırlanmış bölgelerde hatalı biçimlendirilmiş DNSKEY kayıtlarının tetiklediği kaynak tükenmesini içerir ve bu da sorgular sırasında çözümleyicilerde CPU aşırı yüklenmesine neden olur.
CVSS puanı 7,5 olan bu güvenlik açığı, saldırganların kimlik doğrulama olmadan sunuculara uzaktan müdahale etmesine olanak tanıyarak meşru kullanıcıların performansını ciddi şekilde düşürüyor.
ISC, yetkili kurulumların güvende kalmasına rağmen özyinelemeli moddaki çözümleyicilerin ana hedefler olduğunu ve istenmeyen sorgu davranışlarıyla ilgili bilgi tabanlarındaki endişeleri yansıttığını belirtiyor.
Diğer iki konu, bir zamanlar küresel DNS bütünlüğünü tehdit eden 2008 Dan Kaminsky saldırısını anımsatan bir teknik olan önbellek zehirlenmesine odaklanıyor.
CVE-2025-40778 (CVSS 8.6), BIND’in yanıtlardaki istenmeyen kaynak kayıtlarını aşırı hoşgörülü bir şekilde işlemesinden kaynaklanıyor ve sahte verilerin önbelleğe sızmasına ve gelecekteki çözümlerin bozulmasına izin veriyor.
Benzer şekilde, CVE-2025-40780 (CVSS 8.6), zayıf bir sözde rastgele sayı oluşturucudan (PRNG) yararlanarak kaynak bağlantı noktalarını ve sorgu kimliklerini önbelleğe kötü amaçlı yanıtlar göndermek için öngörülebilir hale getirir.
Kusurlu önbellekler trafiği ağlar arasında yeniden yönlendirebileceğinden, her iki kusur da etki kapsamında kapsam değişikliklerini mümkün kılarak saldırı yüzeyini yükseltir.
Nankai Üniversitesi, Tsinghua Üniversitesi ve Kudüs İbrani Üniversitesi’nden araştırmacılar, ISC’nin tavsiyelerinde yaptıkları çalışmalara atıfta bulunarak bu sorunları belirlediler.
Henüz aktif bir istismar bilinmiyor ancak uzak, kimliği doğrulanmamış yapısı, BIND’in yaygın kullanımı göz önüne alındığında aciliyeti artırıyor.
Başarılı bir şekilde yararlanma, kullanıcıları saldırganların kontrolündeki sitelere yönlendirerek kimlik avına, kötü amaçlı yazılım dağıtımına veya ortadaki adam saldırılarına yol açabilir.
Örneğin, zehirlenmiş önbellekler meşru IP adreslerini kötü amaçlı IP adresleriyle değiştirebilir, güvenilir alanları taklit edebilir ve kullanıcıların çevrimiçi hizmetlere olan güvenini azaltabilir.
CVE-2025-8677’den gelen DoS, kararlı DNS’ye bağımlı olan işletmeler için operasyonel kesinti, mali kayıp ve üretkenliğin azalması riskini taşır.
BIND 9.11.0 ila 9.21.12 arasındaki güvenlik açığı bulunan sürümleri ve Desteklenen Önizleme Sürümlerini kullanan kuruluşlar, özellikle bulut ve kurumsal ortamlarda yüksek tehditlerle karşı karşıyadır.
ISC, bu güvenlik açıklarının, devam eden DNS dayanıklılığı zorluklarının, hatta rastgele sorgu kimlikleri gibi Kaminsky sonrası hafifletmelerin altını çizdiğini vurguluyor.
Ubuntu ve Red Hat gibi dağıtımlar güncellemeler yayınlamaya başladı ve paket bakımcıları yamaları hızlı bir şekilde yayınlamaya teşvik edildi.
Azaltmalar
Herhangi bir geçici çözüm mevcut olmadığından sabit sürümlere yükseltme yapılması önemlidir: standart dallar için BIND 9.18.41, 9.20.15 veya 9.21.14 ve karşılık gelen Desteklenen Önizleme sürümleri.
Minimum değişiklikleri tercih edenler için sürüm dizinlerinde seçici yamalar mevcuttur. Yöneticiler, bu DNS tehditlerine karşı koruma sağlamak için ISC’nin tavsiyelerini incelemeli ve dağıtım güncellemelerini izlemelidir.
BIND geliştikçe, bu tür açıklamalar kritik altyapıda proaktif yamalama ihtiyacını vurgulamaktadır.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
