Internet Systems Consortium (ISC) đã công bố ba lỗ hổng CVE nghiêm trọng trong BIND 9, phần mềm DNS được triển khai rộng rãi nhất toàn cầu.

Ba lỗ hổng CVE này được công khai vào ngày 22 tháng 10 năm 2025. Chúng ảnh hưởng đến các bộ phân giải DNS và có khả năng tác động đến hàng triệu người dùng trên toàn thế giới.

Các tổ chức đang sử dụng phiên bản BIND 9 bị ảnh hưởng cần ưu tiên vá lỗi ngay lập tức để ngăn chặn khai thác các lỗ hổng CVE này.

Cảnh báo CVE và Tầm quan trọng của Cơ sở hạ tầng DNS

Những lỗ hổng CVE này phơi bày cơ sở hạ tầng DNS trước các vectơ tấn công khác nhau. Các cuộc tấn công này có thể gây tổn hại nghiêm trọng đến tính toàn vẹn và khả dụng của quá trình phân giải DNS.

DNS là một dịch vụ cơ bản và không thể thiếu đối với chức năng internet. Điều này khiến các lỗ hổng CVE này trở nên đặc biệt đáng lo ngại.

Chúng đe dọa các mạng doanh nghiệp, nhà cung cấp dịch vụ internet và bất kỳ ai phụ thuộc vào phân giải tên miền chính xác và đáng tin cậy.

Kẻ tấn công khai thác những điểm yếu này có thể chuyển hướng người dùng đến các trang web độc hại. Ngoài ra, chúng có thể chặn thông tin liên lạc hoặc khởi động các cuộc tấn công từ chối dịch vụ (DoS) quy mô lớn.

Mức độ Nghiêm trọng và Khả năng Khai thác Từ xa

Về mức độ nghiêm trọng, hai trong số các lỗ hổng CVE này đạt điểm CVSS 8.6. Đây là mức điểm cho thấy rủi ro rất cao, được phân loại là nghiêm trọng.

Lỗ hổng thứ ba đạt CVSS 7.5, vẫn được xếp vào loại rủi ro cao. Điều này đòi hỏi sự chú ý khẩn cấp từ các quản trị viên hệ thống.

Điểm đáng chú ý là cả ba lỗ hổng CVE đều yêu cầu khai thác từ xa dựa trên mạng mà không cần bất kỳ hình thức xác thực nào.

Yếu tố này làm cho chúng tương đối dễ bị tấn công dưới những điều kiện thích hợp. Nguy cơ khai thác thành công là rất cao.

Phân tích Chi tiết các Lỗ hổng CVE trong BIND 9

CVE-2025-8677: Tấn công Từ chối Dịch vụ (DoS) qua Bản ghi DNSKEY Malformed

CVE-2025-8677 khai thác một điểm yếu cụ thể liên quan đến các bản ghi DNSKEY bị định dạng sai (malformed records).

Kẻ tấn công có thể tạo ra các vùng DNS chứa các bản ghi DNSKEY độc hại. Khi một bộ phân giải DNS truy vấn các vùng này, chúng sẽ gây ra hiện tượng cạn kiệt tài nguyên nghiêm trọng.

Quá trình này dẫn đến quá tải CPU trên máy chủ BIND, làm cho hệ thống trở nên không phản hồi.

Kết quả là, dịch vụ DNS bị gián đoạn, gây ra từ chối dịch vụ cho các máy khách hợp pháp. Lỗ hổng này đặc biệt nguy hiểm đối với các bộ phân giải đệ quy, vốn là điểm tiếp xúc đầu tiên cho các truy vấn DNS từ người dùng cuối.

Thông tin chi tiết về CVE-2025-8677 có thể được tham khảo tại ISC Knowledge Base và trên NVD.

CVE-2025-40778 và CVE-2025-40780: Tấn công Ngộ độc Cache DNS

Cả CVE-2025-40778 và CVE-2025-40780 đều tạo điều kiện cho các cuộc tấn công ngộ độc cache (cache poisoning).

Kiểu tấn công này cho phép kẻ tấn công chèn các bản ghi DNS giả mạo vào bộ nhớ cache của bộ phân giải DNS. Mục tiêu là chuyển hướng lưu lượng truy cập DNS.

Các bộ nhớ cache bị ngộ độc thành công sẽ ảnh hưởng đến các truy vấn DNS tiếp theo từ người dùng. Điều này có thể kéo dài vô thời hạn, chuyển hướng người dùng đến cơ sở hạ tầng do kẻ tấn công kiểm soát.

Hậu quả là thông tin nhạy cảm có thể bị đánh cắp hoặc người dùng bị lừa truy cập các trang web lừa đảo.

• CVE-2025-40778 khai thác các chính sách chấp nhận bản ghi quá lỏng lẻo trong BIND. Điều này cho phép các bản ghi không hợp lệ được lưu vào cache.
• CVE-2025-40780 lạm dụng một điểm yếu trong trình tạo số giả ngẫu nhiên (pseudo-random number generator – PRNG) của BIND. Kẻ tấn công có thể dự đoán các cổng nguồn và ID truy vấn, từ đó thực hiện tấn công ngộ độc cache hiệu quả hơn.

Cả hai lỗ hổng CVE này đều nhấn mạnh tầm quan trọng của việc xác thực nghiêm ngặt và tính ngẫu nhiên mạnh mẽ trong các giao thức DNS.

Biện pháp Khắc phục và Cập nhật Bản vá Bảo mật Khẩn cấp

Đối phó với các lỗ hổng CVE này, các tổ chức nên nâng cấp lên các phiên bản BIND 9 đã được vá lỗi ngay lập tức. Đây là bản vá bảo mật duy nhất và hiệu quả để giải quyết các rủi ro đã nêu.

Các phiên bản được khuyến nghị để vá lỗi và đảm bảo an toàn thông tin bao gồm:

• BIND 9 phiên bản 9.18.41
• BIND 9 phiên bản 9.20.15
• BIND 9 phiên bản 9.21.14

Người dùng các phiên bản Preview Edition của BIND 9 cũng được yêu cầu nâng cấp khẩn cấp.

Các phiên bản khuyến nghị cho Preview Edition là 9.18.41-S1 hoặc 9.20.15-S1.

Hiện tại, ISC đã xác nhận rằng chưa có khai thác hoạt động (active exploits) nào được biết đến liên quan đến những lỗ hổng CVE này.

Hơn nữa, không có giải pháp tạm thời (workarounds) nào khả dụng để giảm thiểu rủi ro mà không cần áp dụng bản vá.

Điều này làm cho việc cập nhật bản vá bảo mật trở thành chiến lược giảm thiểu rủi ro duy nhất và bắt buộc. Việc triển khai các bản vá này là bước tối quan trọng để duy trì an ninh mạng và bảo vệ dịch vụ DNS.

Nghiên cứu và Phát hiện các Lỗ hổng

Việc phát hiện ra các lỗ hổng CVE này là kết quả của công trình nghiên cứu sâu rộng.

Nhóm nghiên cứu lỗ hổng từ Đại học Thanh Hoa và Đại học Nankai đã phát hiện ra những vấn đề này. Điều này chứng minh sự tập trung liên tục của cộng đồng nghiên cứu bảo mật vào việc tăng cường an toàn cho cơ sở hạ tầng DNS toàn cầu.