NCSC waarschuwt voor aanstaande aanvallen op gaten in veelgebruikte DNS-software

In dit artikel:

Het Nationaal Cyber Security Centrum (NCSC) waarschuwt dat er op korte termijn aanvallen te verwachten zijn op BIND 9, de veelgebruikte opensource DNS‑software. Onderzoekers ontdekten drie kritieke kwetsbaarheden in de DNS‑resolvers van BIND 9; ontwikkelaar Internet Systems Consortium (ISC) heeft inmiddels updates uitgebracht, en proof‑of‑conceptcode is al openbaar gemaakt. Het NCSC acht het waarschijnlijk dat kwaadwillenden die snel omzetten naar werkende aanvalscode.

De drie problemen werken verschillend: één maakt het mogelijk om vervalste DNS‑records in de cache te injecteren waardoor gebruikers naar schadelijke sites worden geleid (cache‑poisoning); een tweede betreft een zwakke willekeurige‑getallengenerator waarmee aanvallers bronpoorten en query‑ID’s kunnen voorspellen en zo cachepoisoning vergemakkelijken; de derde kan leiden tot DDoS‑achtige uitval doordat misvormde DNSKEY‑records hoge CPU‑belasting veroorzaken en servers onbereikbaar maken. Volgens Censys zijn wereldwijd ruim 706.000 servers vatbaar voor de eerste kwetsbaarheid (CVE‑2025‑40778). Het NCSC meldt dat er nog geen actief misbruik is geconstateerd, maar spreekt van acuut gevaar.

Beheerders van systemen met BIND 9 moeten de door ISC vrijgegeven patches zo spoedig mogelijk installeren. Extra mitigaties die vaak helpen: recursion beperken tot vertrouwde netwerken, response‑rate limiting inschakelen en DNS‑logs actief monitoren om afwijkende antwoorden snel te detecteren.