近期，網際網路系統協會（ISC）針對其廣泛使用的DNS伺服器軟體BIND發布了安全更新，修補了包含CVE-2025-40778、CVE-2025-40780及CVE-2025-8677在內的三個高風險資安漏洞 (ISC, 2025)。然而，令人擔憂的是，截至目前為止，全球仍有數千台BIND伺服器未完成修補，暴露於潜在的網路攻擊風險之中 (iThome, 2025)。

漏洞細節與潜在影響

此次修補的漏洞都可能對系統造成嚴重的安全威脅：

• CVE-2025-40778 和 CVE-2025-40780： 這兩個漏洞都與快取中毒有關，攻擊者可以利用這些漏洞將惡意偽造的DNS資料注入伺服器的快取中，導致流量重定向或網路服務中斷。CVE-2025-40778 透過寬鬆的驗證機制允許注入偽造數據，而 CVE-2025-40780 則利用偽隨機數生成器的弱點，使攻擊者有機會推測連接埠和ID，進而進行攻擊 (iThome, 2025)。這些漏洞的 CVSS 風險評分高達 8.6 分（滿分 10 分）。
• CVE-2025-8677： 此漏洞允許攻擊者透過發送格式錯誤的 DNSKEY 請求，導致 BIND 伺服器資源耗盡，最終造成服務阻斷（DoS）攻擊。該漏洞的 CVSS 風險評分為 7.5 分 (iThome, 2025)。

香港網絡安全事故協調中心指出，CVE-2025-40778 的概念驗證碼（Proof of Concept，PoC）已被公開，這意味著攻擊者可以更容易地利用此漏洞發動攻擊 (HKCERT, 2025)。

全球曝險狀況與台灣現況

根據 Shadowserver 基金會的數據顯示，截至11月初，全球仍有約 6 千多台BIND主機尚未修補 CVE-2025-40778，情況不容樂觀 (iThome, 2025)。進一步的分析顯示，亞洲地區的曝險數量最高，其次是歐洲和美洲。在國家方面，美國的曝險數量最多，其次是俄羅斯、伊朗和法國。而令人擔憂的是，台灣地區也有約 70 台 BIND 伺服器存在未修補的風險 (iThome, 2025)。

風險與建議

未修補這些漏洞的 BIND 伺服器將面臨嚴重的安全風險，可能導致：

• 快取中毒攻擊： 攻擊者可以篡改 DNS 解析結果，將使用者導向惡意網站，進行網路釣魚、散布惡意軟體等活動 (TASC, 2025)。
• 服務阻斷（DoS）攻擊： 攻擊者可以使 BIND 伺服器癱瘓，導致相關網路服務無法正常運作。
• 資料篡改： 攻擊者可以修改 DNS 記錄，篡改網站內容或電子郵件地址，造成嚴重的資訊安全事件。

強烈建議所有 BIND 伺服器管理者立即採取行動，升級至以下版本以修補漏洞：9.16.50、9.18.41、9.20.15 或 9.21.14 (ISC, 2025)。ISC 強調，目前沒有其他可行的緩解措施能有效應對這些漏洞 (ISC, 2025)。若不能及時更新，應考慮暂时停止服務，以免造成更大的損害。

此外，建議定期檢查系統的安全性，並隨時關注相關的安全公告，以確保系統的安全 (HiNet, 2025)。

參考文獻

• HiNet. (2025). 資安訊息. 檢索自 https://hisecure.hinet.net/secureinfo/hotnews.php
• HKCERT. (2025). ISC BIND 多個漏洞. 檢索自 https://www.hkcert.org/tc/security-bulletin/isc-bind-multiple-vulnerabilities_20251023
• iThome. (2025). DNS伺服器軟體BIND存在高風險資安漏洞，迄今仍有超過6千臺系統尚未修補. 檢索自 https://www.ithome.com.tw/news/172021
• ISC. (2025). ISC BIND Security Advisories. (參見 iThome 文章, 無直接連結)
• TASC. (2025). BIND 9非請求紀錄之快取注入漏洞CVE-2025-40778. 檢索自 https://www.tasc.tw/tw/news-detail/bind-9-vulnerability-cve-2025-40778-poc%EF%BC%8F

本文章由AI撰寫，觀點僅供參考。