Phát hiện lỗ hổng BIND 9 nghiêm trọng, đe dọa an ninh DNS toàn cầu

Nam Giang
22/07/2025 19:31
D

Internet Systems Consortium (ISC) vừa công bố hai lỗ hổng bảo mật cực kỳ nghiêm trọng trong phần mềm BIND 9, gây ra mối đe dọa lớn đối với an ninh mạng toàn cầu. Được công bố chính thức vào ngày 16 tháng 7 năm 2025, các lỗ hổng này có thể ảnh hưởng đến hàng triệu máy chủ DNS trên toàn thế giới.

Internet Systems Consortium (ISC) vừa công bố hai lỗ hổng bảo mật cực kỳ nghiêm trọng trong phần mềm BIND 9, gây ra mối đe dọa lớn đối với an ninh mạng toàn cầu. Được công bố chính thức vào ngày 16 tháng 7 năm 2025, các lỗ hổng này có thể ảnh hưởng đến hàng triệu máy chủ DNS trên toàn thế giới.

Phát hiện lỗ hổng BIND 9 nghiêm trọng, đe dọa an ninh DNS toàn cầu
Lỗ hổng CVE-2025-40777: BIND 9 Assertion FailureCVSS Score: 7.5 - Denial of Service Attack

Với hàng triệu máy chủ DNS trên toàn thế giới đang vận hành BIND 9, tác động tiềm tàng của những lỗ hổng này có thể lan rộng đến mọi góc của internet, ảnh hưởng trực tiếp đến khả năng truy cập web, email, và các dịch vụ trực tuyến của hàng tỷ người dùng và hàng nghìn tổ chức trên toàn cầu.

Tầm quan trọng của BIND 9

BIND 9 là phần mềm DNS mã nguồn mở được sử dụng rộng rãi nhất thế giới, chiếm khoảng 40-50% thị phần máy chủ DNS toàn cầu. Phần mềm này đóng vai trò quan trọng trong việc chuyển đổi các tên miền như "google.com" thành địa chỉ IP mà máy tính có thể hiểu được. Do đó, bất kỳ lỗ hổng nào trong BIND 9 đều có tiềm năng tác động đến một phần lớn cơ sở hạ tầng internet toàn cầu.

Lỗ hổng thứ nhất: CVE-2025-40776

Đặc điểm kỹ thuật

  • Mức độ nghiêm trọng: Cao (điểm CVSS: 8.6)
  • Phạm vi ảnh hưởng: Chỉ BIND Subscription Edition (-S)
  • Loại tấn công: Birthday Attack khai thác EDNS Client Subnet (ECS)

Cơ chế tấn công

Lỗ hổng này khai thác một điểm yếu trong cách xử lý EDNS Client Subnet của các trình phân giải DNS. ECS là tiện ích mở rộng cho phép trình phân giải chia sẻ thông tin vị trí địa lý của máy khách với máy chủ định danh để tối ưu hóa hiệu suất.

Cuộc tấn công "birthday attack" hoạt động dựa trên nguyên lý "birthday paradox" - xác suất hai sự kiện ngẫu nhiên trùng khớp cao hơn trực giác thông thường. Kẻ tấn công:

  1. Kích hoạt nhiều truy vấn DNS song song từ các subnet khác nhau
  2. Khai thác ECS để buộc trình phân giải tạo nhiều truy vấn riêng biệt
  3. Tăng xác suất đoán đúng ID giao dịch DNS và cổng nguồn UDP
  4. Chèn phản hồi giả mạo vào bộ nhớ đệm DNS

Hậu quả

Khi thành công, kẻ tấn công có thể:

  • Chuyển hướng người dùng đến trang web độc hại
  • Thu thập thông tin đăng nhập và dữ liệu cá nhân
  • Thực hiện tấn công man-in-the-middle
  • Ảnh hưởng đến hàng nghìn hoặc triệu người dùng do bộ nhớ đệm được chia sẻ

Phiên bản bị ảnh hưởng

  • BIND 9.11.3-S1 đến 9.11.37-S1
  • BIND 9.16.1-S1 đến 9.16.50-S1
  • BIND 9.18.1-S1 đến 9.18.37-S1
  • BIND 9.20.0-S1 đến 9.20.10-S1
  • BIND 9.21.0-S1 đến 9.21.9-S1

Lỗ hổng thứ hai: CVE-2025-40777

Đặc điểm kỹ thuật

  • Mức độ nghiêm trọng: Cao (điểm CVSS: 7.5)
  • Phạm vi ảnh hưởng: Cả phiên bản tiêu chuẩn và subscription
  • Loại tấn công: Assertion failure gây từ chối dịch vụ

Lỗ hổng CVE-2025-40777, mặc dù có điểm CVSS thấp hơn (7.5) so với lỗ hổng đầu tiên, nhưng vẫn đại diện cho một mối đe dọa nghiêm trọng về khả dụng dịch vụ. Không giống như CVE-2025-40776 chỉ ảnh hưởng đến Subscription Edition, lỗ hổng này tác động đến cả phiên bản tiêu chuẩn và subscription của BIND 9

Điều kiện kích hoạt

Lỗ hổng chỉ xảy ra khi đồng thời có hai điều kiện cấu hình:

serve-stale-enable được đặt thành "yes"

stale-answer-client-timeout được đặt thành 0

Cơ chế lỗi

Khi BIND 9 xử lý các chuỗi CNAME phức tạp trong điều kiện cấu hình đặc biệt, một assertion kiểm tra tính hợp lệ của dữ liệu nội bộ thất bại, dẫn đến daemon DNS dừng hoạt động đột ngột.

Quy trình dẫn đến lỗi diễn ra như sau:

1. Nhận truy vấn DNS: Trình phân giải nhận được một truy vấn DNS cho một tên miền có chuỗi CNAME phức tạp.

2. Kiểm tra bộ nhớ đệm: Do cấu hình serve-stale-enable, trình phân giải cố gắng tìm kiếm bản ghi đã hết hạn trong bộ nhớ đệm.

3. Xử lý timeout: Với stale-answer-client-timeout được đặt thành 0, trình phân giải ngay lập tức cố gắng phục vụ bản ghi đã hết hạn mà không chờ đợi.

4. Lỗi logic nội bộ: Trong quá trình xử lý chuỗi CNAME với các điều kiện này, một assertion kiểm tra tính hợp lệ của dữ liệu nội bộ thất bại, dẫn đến việc daemon DNS dừng hoạt động đột ngột.

Hậu quả

  • Gián đoạn dịch vụ DNS hoàn toàn
  • Ảnh hưởng dây chuyền đến các dịch vụ phụ thuộc
  • Cần khởi động lại thủ công để khôi phục
  • Có thể bị khai thác cho tấn công từ chối dịch vụ có chủ đích

Phiên bản bị ảnh hưởng

  • BIND 9.20.0 đến 9.20.10 (cả standard và subscription)
  • BIND 9.21.0 đến 9.21.9

Tình trạng khai thác hiện tại

Đến thời điểm hiện tại, ISC khẳng định chưa ghi nhận bằng chứng khai thác thực tế nào. Tuy nhiên:

  • CVE-2025-40776: Có khả năng khai thác cao do birthday attack đã được hiểu rõ trong cộng đồng bảo mật
  • CVE-2025-40777: Khả năng khai thác trung bình, yêu cầu điều kiện cấu hình cụ thể

Biện pháp khắc phục

Nâng cấp phần mềm BIND Subscription Edition:

  • BIND 9.18.38-S1 (cho nhánh 9.18-S)
  • BIND 9.20.11-S1 (cho nhánh 9.20-S)

BIND Standard Edition:

  • BIND 9.20.11 (cho nhánh 9.20)
  • BIND 9.21.10 (cho nhánh development)

Biện pháp tạm thời

Đối với CVE-2025-40776: Vô hiệu hóa EDNS Client Subnet bằng cách thêm vào cấu hình:

options {

edns-client-subnet no;

}

Đối với CVE-2025-40777: Điều chỉnh cấu hình serve-stale:

options {

serve-stale-enable yes;

stale-answer-client-timeout 5; // Đặt thành giá trị > 0

}

Quy trình nâng cấp khuyến nghị

  1. Đánh giá phiên bản hiện tại
  2. Lập kế hoạch bảo trì
  3. Sao lưu cấu hình
  4. Thực hiện nâng cấp
  5. Kiểm tra sau nâng cấp
  6. Giám sát liên tục

Biện pháp bảo mật bổ sung

  • Triển khai DNSSEC: Cung cấp lớp bảo vệ chống lại tấn công nhiễm độc bộ nhớ đệm
  • Sử dụng DNS over HTTPS/TLS: Mã hóa lưu lượng DNS
  • Giám sát và cảnh báo: Phát hiện hoạt động DNS bất thường
  • Phân đoạn mạng: Cách ly máy chủ DNS để hạn chế tác động tấn công

Khuyến nghị chiến lược

Đối với tổ chức

  • Phát triển quy trình ứng phó sự cố DNS
  • Đào tạo nhân sự về bảo mật DNS
  • Thực hiện kiểm thử thâm nhập định kỳ
  • Đầu tư vào giải pháp dự phòng

Đối với nhà cung cấp dịch vụ

  • Triển khai giám sát 24/7
  • Thiết lập kênh thông báo khách hàng
  • Đa dạng hóa giải pháp DNS

Việc phát hiện các lỗ hổng nghiêm trọng trong BIND 9 nhấn mạnh tầm quan trọng của việc duy trì bảo mật hạ tầng DNS. Với vai trò quan trọng của BIND 9 trong hoạt động internet toàn cầu, CVE-2025-40776 và CVE-2025-40777 đại diện cho mối đe dọa thực sự đối với an ninh mạng quốc tế.

Mặc dù ISC đã nhanh chóng phát hành các bản vá lỗi, trách nhiệm cuối cùng thuộc về các quản trị viên hệ thống trong việc triển khai biện pháp khắc phục kịp thời. Các tổ chức sử dụng BIND 9 được khuyến cáo mạnh mẽ thực hiện ngay lập tức các biện pháp được đề xuất và duy trì sự cảnh giác liên tục đối với các mối đe dọa bảo mật mới trong tương lai.

Trong môi trường mạng ngày càng phức tạp, việc duy trì chiến lược bảo mật DNS toàn diện không chỉ là best practice mà còn là yêu cầu bắt buộc để bảo vệ dữ liệu và duy trì hoạt động kinh doanh.


Nguồn thông tin:

Theo tạp chí Điện tử và Ứng dụng

Bình luận

Tối thiểu 10 chữ Tiếng việt có dấu Không chứa liên kết

Gửi bình luận

Tin cùng chuyên mục

FPT trình diễn hệ sinh thái AI tại Triển lãm 80 năm Hành trình Độc lập - Tự do - Hạnh phúc

FPT trình diễn hệ sinh thái AI tại Triển lãm 80 năm Hành trình Độc lập - Tự do - Hạnh phúc

Keysight hoàn thành đánh giá Chứng nhận PSA cấp 4 cho sản phẩm SiXG301 SoC của Silicon Labs

Keysight hoàn thành đánh giá Chứng nhận PSA cấp 4 cho sản phẩm SiXG301 SoC của Silicon Labs

Hệ sinh thái VNPT Cyber Immunity 'tiến vào' thị trường Nhật Bản

Hệ sinh thái VNPT Cyber Immunity 'tiến vào' thị trường Nhật Bản

Synology ra mắt bản nâng cấp AI cho Office Suite

Synology ra mắt bản nâng cấp AI cho Office Suite

Thấy gì từ vụ thiết bị gây nhiễu smart key làm 'tê liệt' xe máy tại Kim Mã

Thấy gì từ vụ thiết bị gây nhiễu smart key làm 'tê liệt' xe máy tại Kim Mã

VietChain Talents 2025: 1.000 lập trình viên trẻ tham gia, tổng giải thưởng 3,5 tỷ đồng

VietChain Talents 2025: 1.000 lập trình viên trẻ tham gia, tổng giải thưởng 3,5 tỷ đồng

Microsoft hạn chế quyền truy cập của công ty Trung Quốc sau nghi vấn tấn công SharePoint

Microsoft hạn chế quyền truy cập của công ty Trung Quốc sau nghi vấn tấn công SharePoint

FPT tiên phong đưa Internet 10Gbps đến tay người dùng Việt

FPT tiên phong đưa Internet 10Gbps đến tay người dùng Việt

Internet công nghiệp, chìa khóa để doanh nghiệp bứt phá

Internet công nghiệp, chìa khóa để doanh nghiệp bứt phá

VNPT sẵn sàng hạ tầng viễn thông cho Đại lễ

VNPT sẵn sàng hạ tầng viễn thông cho Đại lễ

Malaysia giải quyết 'cơn khát' năng lượng và nước của các trung tâm dữ liệu AI

Malaysia giải quyết 'cơn khát' năng lượng và nước của các trung tâm dữ liệu AI

Chuyển đổi số CRM: Doanh nghiệp Việt đang hướng về No-code/AI

Chuyển đổi số CRM: Doanh nghiệp Việt đang hướng về No-code/AI

Tin mới cập nhật

VNeID quá tải khi người dân đăng ký nhận hỗ trợ Quốc khánh 100.000 đồng

VNeID quá tải khi người dân đăng ký nhận hỗ trợ Quốc khánh 100.000 đồng

Chào mùa Thu Đông 2025, UNIQLO ra mắt BST UNIQLO and COMPTOIR DES COTONNIERS

Chào mùa Thu Đông 2025, UNIQLO ra mắt BST UNIQLO and COMPTOIR DES COTONNIERS

FPT trình diễn hệ sinh thái AI tại Triển lãm 80 năm Hành trình Độc lập - Tự do - Hạnh phúc

FPT trình diễn hệ sinh thái AI tại Triển lãm 80 năm Hành trình Độc lập - Tự do - Hạnh phúc

Ngập lối vào KĐT Vinsmart city: 4 ngày nay tôi chưa về nhà

Ngập lối vào KĐT Vinsmart city: 4 ngày nay tôi chưa về nhà

Vợ cựu Tổng thống Hàn Quốc Kim Keon Hee bị truy tố tham nhũng: Chưa từng có tiền lệ

Vợ cựu Tổng thống Hàn Quốc Kim Keon Hee bị truy tố tham nhũng: Chưa từng có tiền lệ

Chung kết Z Marketer mùa 5: Gen Z đưa tinh thần Việt vào chiến dịch marketing “triệu view”

Chung kết Z Marketer mùa 5: Gen Z đưa tinh thần Việt vào chiến dịch marketing “triệu view”

Khai mạc trưng bày chuyên đề 'Ký ức Ngày Độc lập và Di sản cho Người trẻ'

Khai mạc trưng bày chuyên đề 'Ký ức Ngày Độc lập và Di sản cho Người trẻ'

Giải Bóng đá đường phố Tiger Street Football 2025 chính thức khởi tranh

Giải Bóng đá đường phố Tiger Street Football 2025 chính thức khởi tranh

Cách người dân nhận 100.000 đồng quà Quốc khánh 2/9 cụ thể ra sao?

Cách người dân nhận 100.000 đồng quà Quốc khánh 2/9 cụ thể ra sao?

YouTube đạt thỏa thuận mới với Fox, giữ nguyên nội dung Trên YouTube TV

YouTube đạt thỏa thuận mới với Fox, giữ nguyên nội dung Trên YouTube TV

StanbyME 2 có đúng “không có thì thiếu, có thì thừa”?

StanbyME 2 có đúng “không có thì thiếu, có thì thừa”?

Electro-Voice ra mắt loa cột khổng lồ EVOLVE 90

Electro-Voice ra mắt loa cột khổng lồ EVOLVE 90

Tin đọc nhiều

FPT trình diễn hệ sinh thái AI tại Triển lãm 80 năm Hành trình Độc lập - Tự do - Hạnh phúc

FPT trình diễn hệ sinh thái AI tại Triển lãm 80 năm Hành trình Độc lập - Tự do - Hạnh phúc

Keysight hoàn thành đánh giá Chứng nhận PSA cấp 4 cho sản phẩm SiXG301 SoC của Silicon Labs

Keysight hoàn thành đánh giá Chứng nhận PSA cấp 4 cho sản phẩm SiXG301 SoC của Silicon Labs

Hệ sinh thái VNPT Cyber Immunity 'tiến vào' thị trường Nhật Bản

Hệ sinh thái VNPT Cyber Immunity 'tiến vào' thị trường Nhật Bản

Synology ra mắt bản nâng cấp AI cho Office Suite

Synology ra mắt bản nâng cấp AI cho Office Suite

Thấy gì từ vụ thiết bị gây nhiễu smart key làm 'tê liệt' xe máy tại Kim Mã

Thấy gì từ vụ thiết bị gây nhiễu smart key làm 'tê liệt' xe máy tại Kim Mã

VietChain Talents 2025: 1.000 lập trình viên trẻ tham gia, tổng giải thưởng 3,5 tỷ đồng

VietChain Talents 2025: 1.000 lập trình viên trẻ tham gia, tổng giải thưởng 3,5 tỷ đồng

Công bố 6 sản phẩm dữ liệu lõi 'Make in Vietnam'

Công bố 6 sản phẩm dữ liệu lõi 'Make in Vietnam'

ITU Digital World 2020: Doanh nghiệp kỳ vọng vào các cơ hội mới

ITU Digital World 2020: Doanh nghiệp kỳ vọng vào các cơ hội mới

Android: Hàng triệu người dùng có thể bị tấn công lừa đảo qua lỗ hổng của giao thức OTA

Android: Hàng triệu người dùng có thể bị tấn công lừa đảo qua lỗ hổng của giao thức OTA

Google Maps: Xem tốc độ bạn đang lái xe như thế nào ngay trên Ứng dụng

Google Maps: Xem tốc độ bạn đang lái xe như thế nào ngay trên Ứng dụng

Video xem nhiều

Toàn cảnh xác lập kỷ lục Bản đồ Việt Nam được xếp từ nhiều xe ô tô nhất năm 2022

Toàn cảnh xác lập kỷ lục Bản đồ Việt Nam được xếp từ nhiều xe ô tô nhất năm 2022

Giới thiệu chương trình bình chọn “Xe của năm 2022"

Giới thiệu chương trình bình chọn “Xe của năm 2022"

Đại học Miami tạo ra cảm biến chất lượng không khí phát hiện Covid-19

Đại học Miami tạo ra cảm biến chất lượng không khí phát hiện Covid-19

Hyundai công bố mẫu xe TIGER có thể 'đi bộ' qua các chướng ngại vật.

Hyundai công bố mẫu xe TIGER có thể 'đi bộ' qua các chướng ngại vật.

Thông điệp lan tỏa mùa dịch COVID-19

Thông điệp lan tỏa mùa dịch COVID-19

Clip: Khuyến cáo đối với người lao động, người làm việc, người bán hàng tại khu dịch vụ trong dịch Covid-19

Clip: Khuyến cáo đối với người lao động, người làm việc, người bán hàng tại khu dịch vụ trong dịch Covid-19

Cỗ xe lai phản lực tăng tốc từ 0 - 1010 km/h trong 50 giây tham vọng phá kỷ lục thế giới

Cỗ xe lai phản lực tăng tốc từ 0 - 1010 km/h trong 50 giây tham vọng phá kỷ lục thế giới

“Rắn tiên tri” dự đoán đội tuyển Việt Nam thắng Thái Lan

“Rắn tiên tri” dự đoán đội tuyển Việt Nam thắng Thái Lan

Bắc Sơn mây hát

Bắc Sơn mây hát

Pretzel - Bánh quy cây: Biểu tượng văn hoá châu Âu với nhiều tranh cãi về nguồn gốc

Pretzel - Bánh quy cây: Biểu tượng văn hoá châu Âu với nhiều tranh cãi về nguồn gốc

Làm thế nào để nâng cao tương tác giữa loa và phòng nghe hiệu quả

Làm thế nào để nâng cao tương tác giữa loa và phòng nghe hiệu quả

Những gì bạn muốn biết về 5G

Những gì bạn muốn biết về 5G

Bàn về tầm nhìn và các trụ cột của công nghệ thông tin di động 6G
04/03/2022
Chip xử lý A15 Bionic của Apple có gì mới
15/09/2021
Sex Education mùa 3 được Netflix công chiếu vào 17/9
14/09/2021
iPhone 13 không thay đổi nhiều về ngoại hình, camera được nâng cấp mạnh
13/09/2021
Cách xem trực tiếp sự kiện ra mắt iPhone 13 và Apple Watch 7
10/09/2021
VNEID của Bộ Công an khác các ứng dụng đang được vận hành?
10/09/2021
'Cái tôi' thời 4.0 và tính hai mặt của mạng xã hội
04/09/2021
'Muôn màu' cảm xúc của trẻ trong ngày khai giảng online
24/08/2021
Chủ tịch Chu Ngọc Anh giải toả 'ách tắc' về Giấy đi đường cho người dân Thủ đô
10/08/2021
Hàng loạt Macbook M1 tự dưng vỡ màn hình, Apple có đồng ý bảo hành?
02/08/2021
6 bộ phim hay nhất để xem trên VieON
29/01/2021
Bắc Ninh: Không ký kết triển khai dự án Owifi 5G với CSE Singapore
27/06/2020
Bị World Bank cấm dự thầu 7 năm, công ty Sao Bắc Đẩu thừa nhận sai sót
27/06/2020
Wefinex - Mô hình hoạt động đa cấp "đội lốt" đầu tài chính trên mạng internet
10/06/2020
Khai trừ MISA khỏi Câu lạc bộ Chữ ký số và Giao dịch điện tử Việt Nam
27/05/2020
Chuyển đổi số - Nên hiểu như thế nào cho đúng
25/05/2020
Chống thất thu thuế là thách thức lớn đối với nền kinh tế số
29/04/2020
Cách chuyển tập tin sang máy tính mới
10/11/2019
VNPT, MobiFone, VTC sẽ hoàn thành cổ phần hóa trước năm 2021
20/08/2019
5G thay đổi tương lai của bạn như thế nào?
26/07/2019
Nhận diện hành vi lừa đảo trên không gian mạng
25/07/2019
Truyền hình OTT - Hướng đi mới của các “nhà Đài”
24/07/2019