A Shadowserver Foundation identificou mais de 8.200 servidores DNS que executam o BIND 9 sem a correção para duas vulnerabilidades graves — CVE-2025-40778 e CVE-2025-40780 — capazes de viabilizar o envenenamento de cache. Entre os sistemas expostos, aproximadamente 130 estão localizados no Brasil.
Os patches que eliminam as falhas foram disponibilizados no fim de outubro, mas ainda não foram aplicados por milhares de administradores. O Centro Nacional de Segurança Cibernética (NCSC) já havia alertado que agentes maliciosos devem explorar essas brechas.
Como as falhas funcionam
O BIND 9 é o software de servidor DNS mais difundido na internet, responsável por converter nomes de domínio em endereços IP. As duas vulnerabilidades detectadas permitem que um invasor engane o servidor para enviar respostas falsas ao usuário, redirecionando a navegação para sites maliciosos.
A CVE-2025-40780 está ligada a uma falha no gerador de números pseudoaleatórios (PRNG) do BIND, o que possibilita prever a porta de origem e o ID da consulta. Já a CVE-2025-40778 faz o software aceitar registros de resposta com facilidade excessiva, permitindo a injeção de dados falsificados no cache.
Distribuição dos servidores vulneráveis
Segundo a varredura da Shadowserver, o maior contingente de servidores BIND 9 ainda expostos está nos Estados Unidos, com quase 1.300 instâncias sem atualização. A pesquisa aponta ainda cerca de cem sistemas vulneráveis na Holanda.
Imagem: Internet
Sem a aplicação das correções, administradores de DNS permanecem sujeitos a ataques de envenenamento de cache, que podem levar usuários a domínios fraudulentos sem que percebam.
Com informações de CISO Advisor