BIND 9 DNS çözümleyicilerini etkileyen yüksek önem derecesine sahip bir güvenlik açığı (CVE-2025-40778), uzak, kimliği doğrulanmamış saldırganlar tarafından, önbellek zehirlenmesi yoluyla DNS girişlerini manipüle etmek için kullanılabilir; bu da onların İnternet trafiğini potansiyel olarak kötü amaçlı sitelere yönlendirmelerine, kötü amaçlı yazılım dağıtmalarına veya ağ trafiğini engellemelerine olanak tanır.
Saldırganların bu kusurdan yararlandığı henüz tespit edilmemiş olsa da, bir kavram kanıtlama (PoC) yararlanma kodu yayınlandı ve bu da yöneticilerin internete yönelik çözümleyicilere yama yapmasını kritik hale getirdi.
BIND9 nedir?
BIND (v)9, Internet Systems Consortium (ISC) tarafından geliştirilen DNS yazılım paketi olan Berkeley Internet Name Domain’in en son ve aktif olarak bakımı yapılan tek sürümüdür.
Paket, öncelikle Linux ve Unix benzeri dağıtımları çalıştıran sistemlerin aşağıdaki gibi davranmasına olanak tanır:
- Alan adları için resmi DNS kayıtlarını saklayan ve sunan reklam (yetkili) DNS sunucuları ve/veya
- Diğer DNS sunucularını sorgulayarak istemciler adına DNS aramaları gerçekleştiren ve gelecekteki aramaları hızlandırmak için yanıtları önbelleğe alabilen özyinelemeli (çözücü) sunucular
Çözümleyiciler genellikle ISP’ler, kuruluşlar veya özel ağlar tarafından, kullanıcıların DNS isteklerini işlemek üzere kurulur.
CVE-2025-40778 Hakkında
CVE-2025-40778, önbellek zehirlenmesine yol açabilir çünkü ISC’nin açıkladığı gibi, “belirli koşullar altında BIND, yanıtlardan gelen kayıtları kabul ederken çok hoşgörülü davranır”.
Saldırganlar bunu, bir sorgu sırasında çözümleyicinin önbelleğine sahte kayıtlar (örn. IP – etki alanı eşlemeleri) enjekte etmek için kullanabilir ve böylece potansiyel olarak gelecekteki sorguların çözümünü etkileyebilir ve kullanıcıları saldırganın kontrolündeki varlıklara yönlendirebilir.
Güvenlik açığı çeşitli BIND 9 ve BIND Destekli Önizleme Sürümü sürümlerini etkiliyor ve BIND 9’un 9.18.41, 9.20.15 ve 9.21.14 sürümleri ile BIND Destekli Önizleme Sürümü 9.18.41-S1 ve 9.20.15-S1 sürümlerinde düzeltildi. Bu sabit sürümler aynı zamanda ek bir önbellek zehirlenmesi güvenlik açığına ve hizmet reddine yol açabilecek bir soruna yönelik yamalar da içerir.
Düzeltilen üç güvenlik açığının tümü özyinelemeli DNS sunucularını ve Alman Federal Bilgi Güvenliği Dairesi’ne (BSI) göre, yinelemeli işlevselliğin yanlışlıkla veya kasıtlı olarak etkinleştirildiği yetkili DNS sunucularını etkiliyor.
Güvenlik açıklarının bilinen bir geçici çözümü yoktur; bu nedenle yöneticilerin, mevcut BIND 9 sürümüyle en yakından ilişkili yamalı sürüme mümkün olan en kısa sürede yükseltme yapmaları önerilir.
Pek çok Linux dağıtımı halihazırda düzeltmeyi entegre etmiştir veya yakında yamaları yayınlayacaktır.
Genel olarak BSI, özyinelemeli DNS sunucularının operatörlerine şunları yapmalarını tavsiye eder:
- Özyinelemeyi güvenilir istemcilerle sınırla
- DNSSEC doğrulamasını etkinleştir
- Beklenmeyen kayıtlar için önbellek etkinliğini izleyin ve
- Maksimum önbelleğe alma süresini 24 saatten daha kısa bir süreye düşürün (böylece zehirlenen girişler günlerce devam etmez).
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmamak için son dakika haber e-posta uyarımıza abone olun. Buradan abone olun!