كشف باحثون عن ثغرة خطيرة في نظام BIND 9 المخصص لحل أسماء النطاقات، قد تتيح للمهاجمين تسميم الذاكرة المؤقتة لخوادم DNS وتحويل حركة الإنترنت إلى مواقع مزيفة.
حصلت الثغرة، التي تحمل الرمز CVE-2025-40778، على درجة خطورة بلغت 8.6 وفق مقياس CVSS، وتؤثر على أكثر من 706 ألف خادم مكشوف على الإنترنت، وفقاً لمسح أجرته شركة Censys المتخصصة في رصد الخدمات المكشوفة.
ينتج الخلل عن قبول النظام بشكل مفرط لسجلات موارد غير مطلوبة داخل ردود DNS، ما يتيح للمهاجمين غير المتصلين بالشبكة حقن بيانات مزيفة دون الحاجة إلى الوصول المباشر. وقد أصدرت Internet Systems Consortium، الجهة المطورة لـBIND، تفاصيل الثغرة في 22 أكتوبر 2025 ودعت المسؤولين إلى التحديث الفوري.
يعد BIND 9 من أهم مكونات البنية التحتية للإنترنت، إذ يعتمد عليه جزء كبير من عمليات حل أسماء النطاقات عالمياً. ولذلك، يمثل الخلل تهديداً مباشراً للمؤسسات ومزودي خدمات الإنترنت والجهات الحكومية التي تستخدم خوادم BIND لحل العناوين.
ورغم عدم تسجيل استغلال فعلي حتى الآن، فإن نشر نموذج إثبات المفهوم (PoC) على GitHub زاد القلق، إذ قد يمكن المهاجمين من تكرار الهجوم بسهولة في الأنظمة غير المحدثة.
تعتمد الثغرة على خطأ في منطق البرنامج، يسمح للمخدم بحفظ سجلات بيانات لم تكن جزءاً من الاستعلام الأصلي. وفي الوضع الطبيعي، يرسل خادم DNS التكراري استعلامات إلى الخوادم الموثوقة ويتوقع استجابات محددة تحتوي فقط على الإجابات والبيانات المرتبطة. لكن النسخ المتأثرة من BIND 9 لا تطبق مبدأ bailiwick بصرامة، ما يتيح للمهاجم إدخال سجلات مزيفة مثل A أو AAAA تشير إلى بنية تحت سيطرته.
تشمل النسخ المتأثرة الإصدارات من 9.11.0 حتى 9.16.50، ومن 9.18.0 إلى 9.18.39، ومن 9.20.0 إلى 9.20.13، ومن 9.21.0 إلى 9.21.12، بما في ذلك النسخ التجريبية المدعومة. وتعد الإصدارات الأقدم من 9.11.0 عرضة أيضاً لكن لم تقيم رسمياً بعد.
لا يتأثر خادم DNS الذي يعمل في وضع authoritative-only دون تفعيل خيار التكرار، غير أن تسميم الذاكرة المؤقتة يؤدي إلى إعادة توجيه المستخدمين لفترات قد تمتد لساعات أو أيام تبعاً لقيمة TTL، ما يفتح المجال لهجمات تصيد وسرقة بيانات وتعطيل خدمات.
أظهر مسح Censys وجود أكثر من 706 ألف خادم BIND 9 معرض على الإنترنت بشكل مباشر، وهو رقم لا يشمل الأنظمة المغلقة أو المحمية بجدران نارية، ما يعني أن العدد الحقيقي أعلى على الأرجح. وبسبب سهولة استغلال الثغرة عن بعد وعدم الحاجة إلى صلاحيات، تم تصنيفها ضمن فئة CWE-349 الخاصة بقبول بيانات غير موثوقة.
نشر الباحث المعروف باسم N3mes1s نموذج الهجوم الذي يوضح كيفية مراقبة استعلامات DNS والرد بسرعة قبل الخوادم الشرعية، ما يتيح إدخال بيانات مزيفة في الذاكرة المؤقتة. ورغم نشر الكود لأغراض تعليمية، فإن خبراء الأمن يحذرون من إمكانية تكييفه لهجمات حقيقية ضد الأنظمة غير المحدثة.
حتى 25 أكتوبر 2025 لم يتم رصد هجمات نشطة، إلا أن الإعلان عن الثغرة جاء في وقت تتزايد فيه الهجمات على منظومة DNS، منها ثغرة مشابهة برقم CVE-2025-40780 التي تسمح بتسميم الذاكرة عبر معرفات استعلام متوقعة.
تشير Internet Systems Consortium إلى أن المناطق المفعل فيها DNSSEC محمية بشكل عام، لكن تطبيقات التحقق الجزئية قد تبقى عرضة للخطر. كما حذرت من أن الجهات المدعومة من دول لطالما استهدفت DNS كوسيلة للاختراق المستمر تجعل التصحيح الفوري أمراً ضرورياً.
ولمواجهة CVE-2025-40778، توصي الهيئة بالترقية إلى الإصدارات الآمنة: 9.18.41 و9.20.15 و9.21.14 أو الأحدث. أما الجهات غير القادرة على التحديث فوراً، فعليها تقييد التكرار ليشمل عملاء موثوقين باستخدام قوائم ACL، وتفعيل التحقق عبر DNSSEC للتحقق من الردود رقمياً، ومراقبة محتوى الذاكرة المؤقتة بحثاً عن أي بيانات مشبوهة عبر أدوات مثل قناة إحصاءات BIND. كما يستحسن تعطيل التخزين المؤقت للأقسام الإضافية أو تفعيل الحد من معدل الاستعلامات لتقليص مخاطر الاستغلال.
ينبغي على المؤسسات فحص شبكاتها بحثاً عن خوادم BIND المكشوفة باستخدام أدوات Censys أو Shodan، مع إعطاء الأولوية للخوادم عالية الحركة.
