Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & StackSecurityWirtschaftEnergie & KlimaHardware

BSI warnt vor Bind-Lücke: Daten unzähliger DNS-Server manipulierbar

Angreifer können via Cache-Poisoning Datenverkehr auf eigene Domains umleiten. Allein in Deutschland sind laut BSI rund 40.000 DNS -Server anfällig.
/ Marc Stöckel
Kommentare News folgen (öffnet im neuen Fenster)
Angreifer können weltweit Hunderttausende von DNS-Servern "vergiften". (Bild: pixabay.com / qimono)
Angreifer können weltweit Hunderttausende von DNS-Servern "vergiften". Bild: pixabay.com / qimono

In der weitverbreiteten DNS-Lösung Bind klafft eine gefährliche Sicherheitslücke, die es Angreifern ermöglicht, durch sogenanntes Cache-Poisoning DNS-Einträge zu manipulieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Warnung herausgegeben(öffnet im neuen Fenster) , laut der inzwischen auch ein Proof of Concept (PoC) zur Ausnutzung der Lücke im Netz kursiert. Admins sollten zügig handeln.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Softwareentwickler SAP (m/w/d) naturenergie hochrhein AG, Rheinfelden (Baden) (öffnet im neuen Fenster)
IT-Architekt/in (w/m/d) mit Schwerpunkt Data Engineering IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)
Mitarbeiter Customer Support (m/w/d) - Online Banking Serviscope AG, Karlsruhe (öffnet im neuen Fenster)
(Junior) Consultant SAP SD/Cax (m/w/d) Payment Schwarz Corporate Solutions, Neckarsulm (öffnet im neuen Fenster)
SAS-Anwendungsentwickler (m/w/d) Techniker Krankenkasse, Hamburg (öffnet im neuen Fenster)
Consultant Data & Analytics (m/w/d) Schwarz IT, Neckarsulm (öffnet im neuen Fenster)
Fachinformatiker im First Level Support (m/w/d) Asteria Group Deutschland GmbH, Herne (öffnet im neuen Fenster)
Systemadministrator für Software im Business Intelligence Umfeld (w/m/d) HUK-COBURG, Coburg (öffnet im neuen Fenster)

Bei der besagten Sicherheitslücke handelt es sich um CVE-2025-40778(öffnet im neuen Fenster) . Mit einem CVSS-Wert von 8,6 verfügt diese über einen hohen Schweregrad. Angreifer können die Lücke ohne vorherige Authentifizierung ausnutzen, um einem DNS-Server gezielt falsche Kombinationen aus Domains und IP-Adressen unterzuschieben.

Die Folge ist eine kontrollierte Umleitung des Internet-Traffics, um Nutzer etwa auf Phishingseiten zu locken oder Datenverkehr abzugreifen. Entsprechend manipulierte DNS-Einträge können sich beim Cache-Poisoning schnell ausbreiten, da andere Systeme die von einem betroffenen Server empfangenen DNS-Antworten selbst in ihrem Cache zwischenspeichern und im Rahmen der jeweils definierten TTL (Time to Live) weiterverwenden.

40.000 deutsche DNS-Server betroffen

Bisher gibt es zwar keine Hinweise auf eine aktive Ausnutzung von CVE-2025-40778, dafür aber einen öffentlich verfügbaren PoC-Exploit(öffnet im neuen Fenster) , der entsprechende Angriffe ermöglichen soll. Das BSI warnt vor diesem Hintergrund, dass die Wahrscheinlichkeit einer kurzfristigen Ausnutzung durch böswillige Akteure sehr hoch ist.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Bezüglich der Tragweite des Problems verweist das Bundesamt auf Zahlen der Internet-Intelligence-Plattform Censys. Demnach soll es weltweit über 700.000 anfällige DNS-Server geben – "davon knapp 40.000 allein in Deutschland" . Betroffen sein sollen vor allem rekursive DNS-Server. Aber auch autoritative DNS-Server sind laut BSI gefährdet, sofern diese gleichzeitig als Resolver dienen oder versehentlich rekursive Funktionen aktiviert haben.

Eine Auflistung der anfälligen Bind-Versionen ist in einem Security Advisory des für die Entwicklung zuständigen ISC(öffnet im neuen Fenster) (Internet Systems Consortium) zu finden. Als gepatcht gelten die Versionen 9.18.41, 9.20.15 und 9.21.14 sowie die Preview-Versionen 9.18.41-S1 und 9.20.15-S1. Ältere Bind-Versionen sollten dringend aktualisiert werden. Einen alternativen Workaround gibt es nicht.

Zur Startseite Kommentare

Relevante Themen

WebseitenSoftwareSecuritySicherheitslückeUpdates & PatchesDatensicherheitDomainServerBSI