Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in einem aktuellen Hinweis (BITS-H Nr. 2025-288152-1032) vor einer akuten Gefährdung von DNS-Servern durch die Veröffentlichung eines Proof of Concept (PoC) zur Schwachstelle CVE-2025-40778 in BIND 9.x.
Die Lücke, mit einem CVSS-Score von 8.6 bewertet, ermöglicht DNS-Cache-Poisoning – Angreifer können dadurch gefälschte DNS-Einträge einschleusen und Internet-Traffic auf manipulierte Server umleiten. Besonders betroffen sind rekursive DNS-Server, die Anfragen zwischenspeichern. Autoritative Server sind nur gefährdet, wenn sie fälschlicherweise Rekursion aktiviert haben.
Laut Censys laufen weltweit über 700.000 verwundbare BIND-Server, rund 40.000 davon in Deutschland. Aktuell sind keine aktiven Angriffe bekannt, doch die Existenz eines PoC erhöht das Risiko einer baldigen Ausnutzung erheblich.
Das BSI empfiehlt dringend, BIND auf die Versionen 9.18.41(-S1), 9.20.15(-S1) oder 9.21.14 zu aktualisieren und DNSSEC-Validierung zu aktivieren. Betreiber sollten zudem prüfen, ob ihre Resolver ausschließlich interne Anfragen akzeptieren und keine offenen DNS-Server aus dem Internet erreichbar sind.
