Розробники BIND, найбільш популярного програмного забезпечення для розв’язування доменних імен в Інтернеті, попередили про дві вразливості, які дозволяють зловмисникам отруювати цілі кеші результатів та перенаправляти користувачів на шкідливі сайти, які важко відрізнити від справжніх.
Вразливості, відомі як CVE-2025-40778 та CVE-2025-40780, виникають через логічну помилку та недолік у генерації псевдовипадкових чисел відповідно. Обидві мають рейтинг серйозності 8.6. Окремо, розробники програмного забезпечення DNS resolver Unbound також попередили про схожі вразливості з рейтингом 5.6, які були виявлені тими ж дослідниками.
Ці вразливості можуть бути використані для заміни дійсних результатів запитів доменів на спотворені. Наприклад, замість IP-адреси, контрольованої оператором доменного імені, зловмисники можуть підставити свою адресy. Патчі для всіх трьох вразливостей стали доступні в середу.
У 2008 році дослідник Дан Камінський розкрив одну з найбільш серйозних загроз для безпеки в Інтернеті, відому як отруєння кешу DNS. Це дозволяло зловмисникам масово перенаправляти користувачів на фальшиві сайти замість справжніх, таких як Google чи Bank of America. Завдяки зусиллям тисяч DNS-провайдерів та розробників браузерів було реалізовано виправлення, яке запобігло цій катастрофі.
Причиною вразливості було використання UDP-пакетів у DNS. Оскільки ці пакети відправляються в одному напрямку, DNS-резолвери не можуть використовувати паролі чи інші форми автентифікації при спілкуванні з «авторитетними серверами». Що більше, трафік UDP зазвичай легко підробити, що дозволяє зловмисникам надсилати пакети, які виглядають так, ніби вони приходять з іншого джерела.