Publié le 2025-10-28 18:11:00. Une faille critique dans le logiciel de gestion DNS BIND 9, baptisée CVE-2025-40778, permettrait à des pirates de détourner le trafic internet. La publication d’un code d’exploitation rend la mise à jour des serveurs concernés urgente.
- Une vulnérabilité de haute gravité (CVE-2025-40778) affecte les résolveurs DNS BIND 9.
- Elle peut être exploitée par des attaquants distants non authentifiés pour empoisonner le cache DNS.
- Les conséquences incluent le détournement de trafic, la distribution de logiciels malveillants et l’interception de données.
Une faille de sécurité majeure, identifiée sous la référence CVE-2025-40778, a été découverte dans les résolveurs DNS BIND 9. Ce logiciel, largement utilisé pour la gestion des noms de domaine sur Internet, présente une faiblesse qui pourrait permettre à des cybercriminels, sans authentification préalable, de manipuler les entrées DNS. Cette manipulation s’effectue via une technique appelée « empoisonnement du cache ». L’exploitation réussie de cette vulnérabilité pourrait avoir des répercussions graves, allant de la redirection du trafic Internet vers des sites malveillants, à la diffusion de logiciels nuisibles, en passant par l’interception de communications sensibles.
Bien qu’aucun cas d’exploitation active de cette faille n’ait encore été signalé, la mise en ligne récente d’un code d’exploitation de preuve de concept (PoC) accentue l’urgence pour les administrateurs système. Il est désormais impératif de sécuriser les résolveurs BIND 9 accessibles depuis Internet.
Qu’est-ce que BIND 9 ?
BIND (Berkeley Internet Name Domain) version 9 est la mouture la plus récente et actuellement la seule à être activement maintenue, du système de gestion des noms de domaine développé par l’Internet Systems Consortium (ISC). Ce logiciel permet aux systèmes, principalement sous Linux et systèmes d’exploitation de type Unix, d’assumer deux rôles essentiels :
- Serveur DNS faisant autorité : Il héberge et diffuse les enregistrements DNS officiels pour des domaines spécifiques.
- Serveur DNS récursif (résolveur) : Il interroge d’autres serveurs DNS pour le compte des utilisateurs afin de résoudre des requêtes DNS. Il conserve également ces réponses en mémoire cache pour accélérer les recherches futures.
Les résolveurs sont généralement configurés par les fournisseurs d’accès à Internet (FAI), les entreprises ou les réseaux privés pour gérer les requêtes DNS de leurs utilisateurs.
Focus sur la vulnérabilité CVE-2025-40778
La faille CVE-2025-40778 est intrinsèquement liée à la façon dont BIND accepte les réponses DNS. Comme l’explique l’ISC, « dans certaines circonstances, BIND est trop indulgent lorsqu’il accepte les enregistrements des réponses ». Les attaquants peuvent ainsi injecter de faux enregistrements – qui associent un nom de domaine à une adresse IP erronée – dans le cache du résolveur lors d’une requête. Cela permet de rediriger les utilisateurs vers des ressources contrôlées par l’attaquant ou de corrompre les futures résolutions de noms.
Plusieurs versions de BIND 9 et de BIND Supported Preview Edition sont affectées. Des correctifs sont disponibles dans les versions BIND 9.18.41, 9.20.15, et 9.21.14, ainsi que pour BIND Supported Preview Edition dans les versions 9.18.41-S1 et 9.20.15-S1. Ces mises à jour corrigent également une autre vulnérabilité d’empoisonnement du cache et un problème pouvant mener à un déni de service.
Ces trois failles corrigées concernent les serveurs DNS récursifs. Selon l’Office fédéral allemand pour la sécurité de l’information (BSI), elles affectent également les serveurs DNS faisant autorité si la fonctionnalité récursive y est activée, par erreur ou intentionnellement.
Il n’existe actuellement aucune solution de contournement connue pour ces vulnérabilités. Les administrateurs sont donc vivement encouragés à procéder à une mise à niveau vers la version corrigée la plus proche de leur installation actuelle de BIND 9 dans les plus brefs délais. De nombreuses distributions Linux ont déjà intégré ces correctifs ou s’apprêtent à le faire prochainement.
Le BSI recommande par ailleurs aux opérateurs de serveurs DNS récursifs d’appliquer les bonnes pratiques suivantes :
- Restreindre l’accès à la récursivité aux seuls clients de confiance.
- Activer la validation DNSSEC (Domain Name System Security Extensions).
- Surveiller l’activité du cache pour détecter des enregistrements inhabituels.
- Réduire la durée maximale de mise en cache à 24 heures ou moins, afin de limiter la persistance d’éventuelles entrées corrompues.