Allarme BIND: scoperte vulnerabilità che consentono DNS cache poisoning

Un nuovo e preoccupante allarme scuote la comunità IT internazionale: le fondamenta stesse della sicurezza di internet sono state messe a dura prova da alcune vulnerabilità critiche che coinvolgono due dei software DNS più diffusi al mondo. Le recenti scoperte nei resolver BIND e Unbound hanno evidenziato rischi concreti di DNS cache poisoning, una minaccia in grado di compromettere la fiducia e l’affidabilità dell’intera infrastruttura di rete globale.

Gli esperti di sicurezza hanno identificato due falle rilevanti all’interno di BIND (CVE 2025 40778 e CVE 2025 40780) e una terza, strettamente collegata, che interessa Unbound (CVE 2025 11411). Tutte e tre sono state valutate con un indice di gravità elevato, raggiungendo un punteggio di 8.6 su una scala di 10. Il fulcro del problema risiede nella possibilità, per un attaccante, di manipolare la risoluzione dei nomi a dominio, inserendo risposte artefatte direttamente nella cache dei resolver.

Nel dettaglio, la prima vulnerabilità di BIND nasce da un’eccessiva permissività nell’accettazione dei record contenuti nelle risposte DNS. La seconda, invece, mette in luce una debolezza intrinseca nel meccanismo di generazione dei numeri pseudo-casuali (PRNG), compromettendo l’imprevedibilità degli identificativi di query e delle porte sorgente (source port prediction). Sul fronte Unbound, la vulnerabilità permette di effettuare attacchi di dirottamento dominio sfruttando logiche simili, aprendo la strada a scenari di attacco estremamente sofisticati.

Le vulnerabilità sono una minaccia per milioni di utenti

Quando un resolver DNS cade vittima di cache poisoning, ogni dispositivo che vi si affida può essere inconsapevolmente reindirizzato verso siti web malevoli. Questo scenario facilita attacchi di phishing, sottrazione di credenziali sensibili e la diffusione di malware su larga scala. Tuttavia, gli analisti sottolineano come l’esecuzione di questi attacchi richieda competenze avanzate, tra cui la capacità di effettuare spoofing di rete e una sincronizzazione temporale estremamente precisa.

Questa situazione riporta alla memoria il celebre attacco Kaminsky del 2008, un evento che spinse l’intero settore ad adottare nuove misure di sicurezza, come la randomizzazione delle porte sorgente e l’aumento dell’entropia nelle richieste DNS. Le vulnerabilità attuali, tuttavia, rappresentano una minaccia diretta proprio a questi meccanismi di difesa, rendendo potenzialmente prevedibili elementi che dovrebbero restare casuali e, quindi, sicuri.

Soluzioni immediate e strategie di difesa

Fortunatamente, i team di sviluppo hanno già rilasciato le necessarie patch: per BIND sono disponibili le versioni 9.18.41, 9.20.15 e 9.21.14, mentre per Unbound è stata pubblicata la versione 1.24.1. Aggiornare tempestivamente rappresenta la prima e più efficace linea di difesa contro questi attacchi.

Tra le altre contromisure raccomandate, spiccano:

• L’implementazione di DNSSEC dove possibile, per aggiungere un ulteriore livello di autenticazione alle risposte DNS;
• La configurazione di rate limiting sulle query, così da ridurre la superficie di attacco;
• L’adozione di regole firewall mirate a bloccare traffico sospetto e spoofed;
• Un monitoraggio costante delle risposte DNS per individuare tempestivamente anomalie;
• La verifica periodica dei log, utile a rilevare attività potenzialmente malevole;
• La sperimentazione delle nuove versioni in ambienti sandbox, per valutare eventuali impatti prima della distribuzione in produzione.