-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.01 #############################

Titel           : Kwetsbaarheden verholpen in BIND 9
Advisory ID     : NCSC-2025-0341
Versie          : 1.01
Kans            : medium
CVE ID          : CVE-2025-8677, CVE-2025-40778, CVE-2025-40780
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Use of Cryptographically Weak Pseudo-Random Number
                  Generator (PRNG)
                  Predictable from Observable State
                  Improper Verification of Cryptographic Signature
                  Acceptance of Extraneous Untrusted Data With Trusted
                  Data
                  Uncontrolled Resource Consumption
                  Asymmetric Resource Consumption (Amplification)
Uitgiftedatum   : 20251027
Toepassing      : ISC BIND 9
Versie(s)       :
Platform(s)     :

Update
   Er is Proof-of-Concept-code verschenen waarmee de kwetsbaarheid kan
   worden aangetoond.

Beschrijving
   ISC heeft kwetsbaarheden verholpen in BIND 9 (Specifiek voor versies
   9.16.0 tot 9.16.50, 9.18.0 tot 9.18.39, 9.20.0 tot 9.20.13, en 9.21.0
   tot 9.21.12).

   De kwetsbaarheden bevinden zich in de DNS-resolvers van BIND 9. De
   eerste kwetsbaarheid stelt aanvallers in staat om vervalste DNS-
   records in de cache te injecteren, wat kan leiden tot het omleiden
   van clients naar kwaadaardige domeinen. Een tweede kwetsbaarheid is
   gerelateerd aan een zwakte in de Pseudo Random Number Generator
   (PRNG), waardoor aanvallers bronpoorten en query-ID's kunnen
   voorspellen, wat kan leiden tot cache poisoning aanvallen. De derde
   kwetsbaarheid laat ongeauthenticeerde aanvallers toe om misvormde
   DNSKEY-records te verzenden, wat resulteert in aanzienlijke CPU-
   uitputting en kan leiden tot een denial-of-service voor legitieme
   clients. Deze kwetsbaarheden zijn vooral zorgwekkend voor omgevingen
   die afhankelijk zijn van de specifieke versies van BIND 9.
   **update**
   Onderzoekers hebben Proof-of-Concept-code (PoC) gepubliceerd waarmee
   de kwetsbaarheid kan worden aangetoond in een laboratoriumopstelling
   waarbij de onderzoeker het BIND9-systeem zelf onder controle heeft.
   Op dit moment wordt (nog) geen actief misbruik waargenomen. Het NCSC
   verwacht echter dat op korte termijn de PoC omgezet zal worden door
   kwaadwillenden in werkende code, waarmee cache-poisoning realistisch
   wordt.
   Vooralsnog is het onwaarschijnlijk dat de BIND-server zelf
   gecompromitteerd kan worden. De mogelijke schade is cache-poisoning.
   Hierbij gaat de DNS verkeerde antwoorden geven, waardoor
   kwaadwillenden slachtoffers naar malafide servers kunnen leiden.

Mogelijke oplossingen
   ISC heeft updates uitgebracht om de kwetsbaarheden te verhelpen. Zie
   bijgevoegde referenties voor meer informatie.

   Referenties:
      Reference
      https://kb.isc.org/docs/cve-2025-40778

      Reference
      https://kb.isc.org/docs/cve-2025-40780

      Reference
      https://kb.isc.org/docs/cve-2025-8677

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
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=1niY
-----END PGP SIGNATURE-----