Faille de sécurité CVE-2025-40778 dans BIND 9 : Menace mondiale sur l'infrastructure DNS

Orphée Grandsable

Faille critique dans BIND 9 : plus de 700 000 serveurs DNS exposés

Une nouvelle faille de sécurité récemment divulguée a mis plus de 706 000 résolveurs DNS BIND 9 dans le monde entier à risque d’attaques par empoisonnement de cache, selon un communiqué publié par l’Internet Systems Consortium (ISC) le 22 octobre 2025. Cette vulnérabilité, identifiée sous le nom de CVE-2025-40778, présente un score de gravité CVSS v3.1 de 8.6 (Élevé) et pourrait permettre à des attaquants distants d’injecter des enregistrements DNS falsifiés dans les caches des résolveurs.

Le problème, officiellement intitulé “Cache poisoning attacks with unsolicited RRs”, affecte plusieurs versions supportées et d’aperçu de BIND 9, le logiciel DNS open-source largement utilisé qui alimente une grande partie de l’infrastructure mondiale de résolution de noms Internet. Selon la documentation de l’ISC, la faille provient du comportement trop permissif de BIND lors de l’acceptation de certains enregistrements DNS dans les réponses, ce qui permet à des acteurs malveillants de manipuler le cache du résolveur.

“Dans certaines circonstances, BIND est trop tolérant lors de l’acceptation d’enregistrements dans les réponses, permettant à un attaquant d’injecter des données falsifiées dans le cache”, explique l’avis de sécurité.

Selon des estimations récentes, BIND 9 est utilisé par environ 80% des serveurs DNS récursifs publics dans le monde, ce qui signifie que cette faille touche une part significative de l’infrastructure fondamentale d’Internet. L’exposition de centaines de milliers de serveurs BIND 9 à CVE-2025-40778 met en lumière les défis constants de la maintenance de la confiance et de la sécurité aux niveaux fondamentaux d’Internet.

Décortage de la vulnérabilité CVE-2025-40778

L’avis de sécurité de l’ISC liste les versions suivantes de BIND 9 comme étant affectées par CVE-2025-40778 :

  • BIND 9.11.0 → 9.16.50
  • BIND 9.18.0 → 9.18.39
  • BIND 9.20.0 → 9.20.13
  • BIND 9.21.0 → 9.21.12

De plus, l’édition d’aperçu supportée par l’ISC, une branche d’aperçu de fonctionnalités pour les clients du support ISC, est également affectée dans les versions suivantes :

  • 9.11.3-S1 → 9.16.50-S1
  • 9.18.11-S1 → 9.18.39-S1
  • 9.20.9-S1 → 9.20.13-S1

Bien que les versions antérieures (avant 9.11.0) n’aient pas été explicitement testées, l’ISC a noté qu’elles sont très probablement également impactées. Cette étendue de versions affectées illustre la nature systémique de la vulnérabilité et la nécessité d’une action immédiate de la part des administrateurs système.

Versions impactées : une analyse technique

La vulnérabilité CVE-2025-40778 affecte spécifiquement les versions de BIND 9 qui implémentent une certaine logique de traitement des réponses DNS. Le problème réside dans la manière dont BIND gère les enregistrements supplémentaires (RR) dans les réponses DNS, en particulier lors de la validation de ces enregistrements.

Dans une infrastructure DNS typique, BIND 9 agit comme résolveur récursif, transformant les noms de domaine en adresses IP en interrogeant plusieurs serveurs jusqu’à trouver la réponse appropriée. Ce processus implique la mise en cache des réponses pour améliorer les performances futures. La faille CVE-2025-40778 exploite cette mécanisme de cache en permettant l’injection d’enregistrements falsifiés.

Chronologie de découverte et de divulgation

La vulnérabilité a été signalée à l’ISC par des chercheurs de l’Université Tsinghua, Yuxiao Wu, Yunyi Zhang, Baojun Liu et Haixin Duan, qui ont été crédités dans l’avis officiel. La documentation interne de l’ISC retrace la chronologie de divulgation comme suit :

  • Notification précoce : 8 octobre 2025
  • Date de divulgation révisée : 14 octobre 2025
  • Versions corrigées mises à jour : 15 octobre 2025
  • Publication publique : 22 octobre 2025

Cette chronologie reflète une approche responsable de divulgation coordonnée, permettant aux développeurs de corriger la faille avant sa divulgation publique, tout en maintenant un délai raisonnable pour l’application des correctifs. La période de deux semaines entre la notification initiale et la publication publique est conforme aux meilleures pratiques actuelles en matière de divulgation de vulnérabilités.

Nature de la faille et implications

La faille CVE-2025-40778 permet une exploitation à distance. Les attaquants pourraient insérer des enregistrements DNS falsifiés dans le cache d’un résolveur pendant le processus de requête. Une fois le cache empoisonné, celui-ci pourrait répondre avec des résultats frauduleux aux futures requêtes DNS, redirigeant potentiellement les utilisateurs vers des domaines malveillants ou des serveurs contrôlés par l’attaquant.

Bien que les serveurs DNS autoritatifs soient supposés non affectés, l’ISC avertit que les résolveurs sont particulièrement exposés. L’organisation a également mis un lien vers des explications sur la raison pour laquelle certains serveurs autoritatifs pourraient toujours effectuer des requêtes récursives, ce qui pourrait créer des voies d’exposition inattendues.

Techniques d’exploitation potentielles

Dans la pratique, les attaquants exploiteraient cette vulnérabilité en orchestrant une attaque par empoisonnement de cache DNS complexe. L’attaque nécessiterait généralement :

  1. L’envoi de multiples requêtes DNS au résolveur BIND vulnérable
  2. La réception des réponses DNS normales
  3. L’envoi de réponses DNS falsifiées contenant des enregistrements malveillants
  4. La synchronisation temporelle précise pour que les réponses falsifiées arrivent avant les réponses légitimes

Cette technique d’exploitation est particulièrement efficace contre les résolveurs qui n’implémentent pas correctement le randomisation des ports source et des IDs de transaction, des défenses couramment recommandées pour prévenir les attaques par empoisonnement de cache.

Impact sur les utilisateurs finaux

Pour les utilisateurs finaux, les conséquences d’une attaque réussie pourraient inclure :

  • Redirection vers des sites web malveillants phishing
  • Téléchargement involontaire de logiciels malveillants
  • Pertes financières potentielles via des sites bancaires falsifiés
  • Vol d’informations d’identification sensibles
  • Interruption des services essentiels

Dans un scénario d’attaque à grande échelle, des milliers d’utilisateurs pourraient être affectés simultanément, créant une situation d’urgence majeure pour les organisations concernées et leurs clients.

Absence de solutions de contournement

L’ISC a souligné qu’il n’existe actuellement aucune solution de contournement connue pour cette vulnérabilité. La seule mitigation efficace consiste à mettre à niveau vers une version corrigée de BIND 9. Les versions corrigées incluent :

  • 9.18.41
  • 9.20.15
  • 9.21.14

Pour les clients de l’aperçu supporté par l’ISC, les versions corrigées correspondantes sont :

  • 9.18.41-S1
  • 9.20.15-S1

Cette absence de solution de contournement souligne l’importance critique d’appliquer les mises à jour de sécurité dès qu’elles sont disponibles. Dans des environnements où la mise à jour immédiate n’est pas possible, des mesures temporaires telles que la limitation du trafic DNS entrant ou le renforcement de la surveillance des journaux système pourraient fournir une certaine protection, bien qu’incomplète.

Processus de mise à jour recommandé

Pour les administrateurs système, le processus de mise à jour de BIND 9 devrait suivre ces étapes :

  1. Vérification de la version actuelle : Exécuter la commande named -v pour confirmer la version installée
  2. Sauvegarde de la configuration : Sauvegarder tous les fichiers de configuration et les zones DNS
  3. Arrêt sécurisé du service : Arrêter le service DNS de manière contrôlée
  4. Installation de la nouvelle version : Suivre les instructions d’installation de la documentation officielle
  5. Restauration de la configuration : Restaurer les fichiers de configuration sauvegardés
  6. Test de fonctionnement : Vérifier que le service fonctionne correctement
  7. Redémarrage du service : Redémarrer le service DNS

Considérations spécifiques pour les environnements de production

Dans les environnements de production critiques, les administrateurs devraient également :

  • Planifier la maintenance pendant les heures de moindre activité
  • Prévoir une période d’essai dans un environnement de pré-production
  • S’assurer que les procédures de retour arrière sont testées
  • Communiquer avec les parties prenantes concernées
  • Surveiller étroitement les performances et la stabilité après la mise à jour

Dans notre expérience avec les déploiements DNS à grande échelle, une approche méthodique et bien planifiée réduit considérablement les risques associés aux mises à jour critiques.