Proof of Concept für kritische BIND-Schwachstelle CVE-2025-40778 veröffentlicht

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in einem aktuellen Hinweis (BITS-H Nr. 2025-288152-1032) vor einer akuten Gefährdung von DNS-Servern durch die Veröffentlichung eines Proof of Concept (PoC) zur Schwachstelle CVE-2025-40778 in BIND 9.x.

Die Lücke, mit einem CVSS-Score von 8.6 bewertet, ermöglicht DNS-Cache-Poisoning – Angreifer können dadurch gefälschte DNS-Einträge einschleusen und Internet-Traffic auf manipulierte Server umleiten. Besonders betroffen sind rekursive DNS-Server, die Anfragen zwischenspeichern. Autoritative Server sind nur gefährdet, wenn sie fälschlicherweise Rekursion aktiviert haben.

Laut Censys laufen weltweit über 700.000 verwundbare BIND-Server, rund 40.000 davon in Deutschland. Aktuell sind keine aktiven Angriffe bekannt, doch die Existenz eines PoC erhöht das Risiko einer baldigen Ausnutzung erheblich.

Das BSI empfiehlt dringend, BIND auf die Versionen 9.18.41(-S1), 9.20.15(-S1) oder 9.21.14 zu aktualisieren und DNSSEC-Validierung zu aktivieren. Betreiber sollten zudem prüfen, ob ihre Resolver ausschließlich interne Anfragen akzeptieren und keine offenen DNS-Server aus dem Internet erreichbar sind.

Related Posts

CVE-2025-9164: DLL-Hijacking in Docker Desktop Installer ermöglicht lokale Rechteausweitung

Eine neu veröffentlichte Schwachstelle (CVE-2025-9164, auch GHSA-5p9c-72f9-f98q, EUVD-2025-36191) betrifft den Docker Desktop Installer bis Version 4.48.0. Laut Advisory nutzt der Installer eine unsichere DLL-Suchreihenfolge und lädt Bibliotheken aus dem Downloads-Ordner des Benutzers, bevor Systemverzeichnisse geprüft werden.

Read More

GlassWorm: Unsichtbarer Wurm infiziert VS-Code-Extensions

Sicherheitsforscher von Koi Security haben einen selbst-propagierenden Wurm namens GlassWorm entdeckt, der VS-Code-Erweiterungen auf dem OpenVSX-Marktplatz kompromittiert und bereits aktive Infektionen verteilt. (koi.ai) Die Malware versteckt ausführbaren JavaScript-Code mit unsichtbaren Unicode-Zeichen, sodass Code-Reviews und viele statische Scanner den Schadcode nicht bemerken. Als Kommando- und Steuerinfrastruktur nutzt GlassWorm eine Kombination aus Solana-Blockchain-Transaktionen (immutable Memo-Felder) und einem Google-Calendar-Event als Backup-C2, plus direkte Payload-URLs — eine schwer zu unterbindende, dezentrale Steuerkette. Die Nutzlasten enthalten Credential-Stealer und einen Remote-Access-Trojaner (ZOMBI), der NPM/Git/GitHub/OpenVSX-Tokens stiehlt, Entwicklermaschinen zu SOCKS-Proxies macht und versteckte VNC/HVNC-Zugänge einrichtet. Koi meldet, dass am 17. Oktober mehrere OpenVSX-Extensions kompromittiert wurden und die Gesamtzahl der betroffenen Installationen sich in den Zehntausenden bewegt; weitere befallene Erweiterungen wurden auch im offiziellen VS-Code-Marketplace gefunden. Organisationen und Entwickler sollten sofort prüfen, ob sie betroffene Extensions installiert haben, Tokens/Keys rotieren und lokale Erkennungsmaßnahmen für versteckte Unicode-Zeichen sowie Netzwerk-Anomalien einsetzen.

Read More

Race Condition in Proxmox Backup Server kann zu beschädigten Backups führen

Proxmox hat eine Warnung zu einer Race Condition in Proxmox Backup Server 3.3 und älter veröffentlicht, die unter bestimmten Umständen zu korrupten Backups führen kann. Der Fehler tritt auf, wenn während einer laufenden Garbage-Collection (GC) gleichzeitig Snapshots gelöscht oder neue erstellt werden. Dabei kann es passieren, dass GC irrtümlich noch benötigte Datenblöcke entfernt, wodurch betroffene Sicherungen nicht mehr verifiziert oder wiederhergestellt werden können.

Read More