Internet Systems Consortium (ISC) đã công bố hai lỗ hổng bảo mật nghiêm trọng trong BIND 9, một trong những triển khai phần mềm DNS được sử dụng rộng rãi nhất trên toàn cầu. Các lỗ hổng này, được công bố vào ngày 16 tháng 7 năm 2025, có khả năng cho phép kẻ tấn công làm nhiễm độc bộ nhớ đệm DNS và gây gián đoạn dịch vụ phân giải DNS, ảnh hưởng tiềm tàng đến hàng triệu người dùng internet và các tổ chức trên toàn thế giới.
Lỗ Hổng Khai Thác Độc Bộ Nhớ Đệm DNS: CVE-2025-40776
Lỗ hổng đầu tiên, được định danh là CVE-2025-40776, là một cuộc tấn công “birthday attack” tinh vi nhắm vào các trình phân giải DNS (DNS resolvers) có hỗ trợ tùy chọn EDNS Client Subnet (ECS). Đây là một lỗ hổng có mức độ nghiêm trọng cao, chỉ ảnh hưởng đến phiên bản BIND Subscription Edition (-S) và có điểm CVSS là 8.6. Mức điểm này cho thấy những tác động bảo mật đáng kể đối với các tổ chức đang sử dụng phiên bản cao cấp này của phần mềm.
Cơ chế tấn công CVE-2025-40776
Lỗ hổng này cho phép thực hiện các cuộc tấn công làm nhiễm độc bộ nhớ đệm (cache poisoning) bằng cách buộc các trình phân giải có hỗ trợ ECS thực hiện các truy vấn theo một cách đặc biệt. Việc này làm tăng đáng kể khả năng kẻ tấn công đoán đúng các cổng nguồn (source ports) và các chi tiết quan trọng khác cần thiết để vượt qua các biện pháp bảo vệ chống nhiễm độc bộ nhớ đệm hiện có. Cụ thể, trong một cuộc tấn công “birthday attack” nhắm vào DNS, kẻ tấn công khai thác xác suất đụng độ băm để đoán ra các giá trị ID giao dịch DNS và cổng nguồn UDP chính xác, cho phép tạo ra một phản hồi giả mạo mà trình phân giải chấp nhận là hợp lệ.
Sự yếu kém này khiến các trình phân giải DNS dễ bị tấn công giả mạo phản hồi truy vấn hơn. Khi bộ nhớ đệm bị nhiễm độc, kẻ tấn công có thể chuyển hướng người dùng đến các trang web độc hại, thực hiện các cuộc tấn công lừa đảo (phishing) hoặc chặn thu thập thông tin liên lạc nhạy cảm, gây ra rủi ro nghiêm trọng về quyền riêng tư và toàn vẹn dữ liệu.
Lỗ Hổng Gây Gián Đoạn Dịch Vụ Do Lỗi Khẳng Định: CVE-2025-40777
Lỗ hổng thứ hai, được định danh là CVE-2025-40777, gây ra một mối đe dọa khác nhưng cũng nghiêm trọng không kém. Lỗ hổng này có thể dẫn đến lỗi khẳng định (assertion failures), gây ra sự gián đoạn dịch vụ hoàn toàn khi đáp ứng các điều kiện cấu hình cụ thể.
Cơ chế tấn công và điều kiện kích hoạt CVE-2025-40777
Với điểm CVSS là 7.5, lỗ hổng này ảnh hưởng đến các trình phân giải được cấu hình với serve-stale-enable yes và stale-answer-client-timeout được đặt thành 0. Khi các điều kiện này được đáp ứng, quá trình xử lý chuỗi CNAME (Canonical Name) nhất định có thể khiến daemon DNS bị ngừng hoạt động đột ngột (abort unexpectedly). Lỗi khẳng định là một cơ chế lập trình được sử dụng để kiểm tra các điều kiện giả định phải đúng trong quá trình thực thi. Khi một khẳng định thất bại, chương trình thường sẽ dừng lại ngay lập tức để tránh các trạng thái không xác định hoặc lỗi bảo mật nghiêm trọng hơn, dẫn đến gián đoạn dịch vụ DNS.
Các Phiên Bản Bị Ảnh Hưởng và Tác Động
Cả hai lỗ hổng chủ yếu tác động đến các trình phân giải DNS (DNS resolvers) chứ không phải máy chủ định danh (authoritative servers). Tuy nhiên, ISC nhấn mạnh tầm quan trọng của việc hiểu rõ khi nào máy chủ định danh có thể thực hiện các truy vấn đệ quy, vì trong những trường hợp đó, chúng cũng có thể bị ảnh hưởng.
Các phiên bản BIND bị ảnh hưởng cụ thể:
- Lỗ hổng nhiễm độc bộ nhớ đệm (CVE-2025-40776): Ảnh hưởng đến nhiều phiên bản của BIND Subscription Edition, từ 9.11.3-S1 cho đến các bản phát hành gần đây.
- Lỗ hổng lỗi khẳng định (CVE-2025-40777): Ảnh hưởng đến các phiên bản BIND 9.20.0 đến 9.20.10 và 9.21.0 đến 9.21.9.
Tác động của các lỗ hổng này bao gồm khả năng định tuyến lưu lượng truy cập sai mục đích, làm suy giảm tính toàn vẹn của dịch vụ DNS và có thể dẫn đến từ chối dịch vụ hoàn toàn, gây ảnh hưởng nghiêm trọng đến khả năng truy cập Internet và các ứng dụng phụ thuộc vào DNS của người dùng và tổ chức.
Các Biện Pháp Giảm Thiểu và Khuyến Nghị
ISC đã phát hành các phiên bản vá lỗi để khắc phục cả hai lỗ hổng. Các tổ chức đang sử dụng các phiên bản bị ảnh hưởng nên nâng cấp ngay lập tức lên các phiên bản BIND tương ứng sau:
- BIND 9.18.38-S1
- BIND 9.20.11-S1 (dành cho Subscription Edition)
- BIND 9.20.11 (dành cho Standard Edition)
- BIND 9.21.10
Việc nâng cấp lên phiên bản vá lỗi mới nhất là biện pháp khắc phục được khuyến nghị và hiệu quả nhất để đảm bảo an toàn cho hệ thống DNS của bạn.
Các giải pháp tạm thời (Workarounds):
Trong trường hợp không thể nâng cấp ngay lập tức, các quản trị viên có thể áp dụng các giải pháp tạm thời sau:
- Đối với CVE-2025-40776 (nhiễm độc bộ nhớ đệm):
Tạm thời vô hiệu hóa chức năng ECS (EDNS Client Subnet). Tuy nhiên, cần lưu ý rằng việc vô hiệu hóa ECS có thể ảnh hưởng đến hiệu suất và độ chính xác của phân giải DNS cho một số người dùng, đặc biệt là trong các CDN hoặc dịch vụ phụ thuộc vào vị trí địa lý của máy khách.
- Đối với CVE-2025-40777 (lỗi khẳng định):
Chỉnh sửa cấu hình liên quan đến
stale-answer. Cụ thể, nếu cấu hình của bạn cóserve-stale-enable yesvàstale-answer-client-timeoutđược đặt thành 0, bạn nên thay đổi giá trị củastale-answer-client-timeoutthành một số giây lớn hơn 0 hoặc vô hiệu hóa hoàn toànserve-stale-enable.options { // ... các cấu hình khác ... serve-stale-enable yes; stale-answer-client-timeout 10; // Đặt thành giá trị lớn hơn 0 // Hoặc vô hiệu hóa: serve-stale-enable no; };Việc điều chỉnh cấu hình này giúp ngăn chặn trình phân giải DNS gặp phải điều kiện dẫn đến lỗi khẳng định khi xử lý các chuỗi CNAME.
Phát Hiện và Tình Trạng Khai Thác
Các lỗ hổng này đã được phát hiện thông qua quá trình kiểm thử nội bộ của ISC và các nghiên cứu học thuật. Đặc biệt, công lao phát hiện lỗi liên quan đến ECS (CVE-2025-40776) được ghi nhận cho Xiang Li từ AOSP Lab của Đại học Nankai.
ISC báo cáo rằng họ không ghi nhận bất kỳ trường hợp khai thác tích cực nào của các lỗ hổng này trên thực tế vào thời điểm hiện tại. Tuy nhiên, do tiềm năng gây ra tác động bảo mật đáng kể, ISC khẩn thiết kêu gọi tất cả các quản trị viên và tổ chức thực hiện vá lỗi ngay lập tức để bảo vệ hệ thống DNS của mình khỏi các mối đe dọa tiềm tàng.
