İnternetin en yaygın kullanılan alan adı çözümleme yazılımı BIND'de, kullanıcıları kötü amaçlı sitelere yönlendirebilecek iki ciddi güvenlik açığı tespit edildi. Bu açıklar, saldırganların internet sitelerinin önbelleğe alınmış verilerini bozarak, kullanıcıların orijinal gibi görünen ancak sahte web sitelerine yönlendirilmesine olanak tanıyor.
CVE-2025-40778 ve CVE-2025-40780 olarak adlandırılan bu güvenlik açıkları, sırasıyla mantık hatası ve rastgele sayı üretimindeki bir zayıflıktan kaynaklanıyor. Her iki açık da yüksek ciddiyet derecesine sahip. Benzer güvenlik açıkları, aynı araştırmacılar tarafından popüler DNS çözümleyici yazılımlarından Unbound için de raporlandı.
Kaminsky'nin Önbellek Zehirleme Saldırısı Yeniden Gündemde
Bu güvenlik açıkları, binlerce kurumun kullandığı DNS çözümleyicilerinin, alan adı sorguları için geçerli yanıtları bozuk verilerle değiştirmesine yol açabiliyor. Saldırganlar, alan adının gerçek IP adresi yerine kendi kontrolündeki kötü amaçlı bir IP adresini yönlendirebiliyor. Üç güvenlik açığı için de yamalar yayınlandı.
2008 yılında araştırmacı Dan Kaminsky, DNS önbellek zehirlemesi olarak bilinen ve internet çapında ciddi güvenlik tehditleri oluşturan bir saldırı yöntemini ortaya çıkarmıştı. Bu yöntem sayesinde saldırganlar, kullanıcıları toplu halde Google, bankalar veya herhangi bir şirketin sahte web sitelerine yönlendirebiliyordu. O dönemde, sektörel işbirliği sayesinde binlerce DNS sağlayıcısı ve yazılım geliştiricisi tarafından alınan önlemlerle bu tehlike bertaraf edilmişti.
Söz konusu saldırıların temelinde, DNS'in UDP paketlerini kullanması yatıyordu. Tek yönlü veri akışı nedeniyle, DNS çözümleyicileri ile yetkili sunucular arasında kimlik doğrulama mekanizması bulunmuyordu. Ayrıca, UDP trafiğinin kolayca taklit edilebilmesi, gönderilen paketlerin kaynağının kolayca sahtesiyle değiştirilebilmesine imkan tanıyordu.
Çözümleyicilerin, yalnızca yetkili sunuculardan gelen yanıtları kabul etmesi ve zehirlenmiş yanıtları engellemesi için her sorguya 16 bitlik bir sayı ekleniyordu. Sunucudan gelen yanıtın, bu kimlik numarasıyla eşleşmesi gerekiyordu.
Kaminsky, toplamda yalnızca 65.536 olası işlem kimliği olduğunu fark etti. Saldırganlar, bir DNS çözümleyicisini belirli bir alan adı için çok sayıda sorguyla bombardımana tutarak bu zayıflığı istismar edebiliyordu. Her sorguda alan adının farklı bir alt alan adı ve farklı bir işlem kimliği kullanılarak, sonunda doğru işlem kimliğine denk gelindiğinde kötü amaçlı IP adresi çözümleyiciye iletiliyor ve bu da tüm kullanıcılara yansıyordu. Saldırının adı, çözümleyicinin sorgu depolama alanını kirletmesinden dolayı DNS önbellek zehirlemesi olarak kaldı.
DNS ekosistemi, yanıtların kabul edilmesi için gereken entropiyi katlanarak artırarak bu sorunu çözdü. Önceden yalnızca port 53 üzerinden yapılan sorgu ve yanıtlar, yeni sistemde binlerce potansiyel port arasından rastgele seçilen bir port üzerinden yapılmaya başlandı. Bir yanıtın kabul edilmesi için, sorguyla aynı port numarası üzerinden gelmesi gerekiyordu. İşlem kimliği ile birlikte bu yeni sistem, saldırganların matematiksel olarak doğru kombinasyonu bulmasını neredeyse imkansız hale getirdi.
BIND'deki güvenlik açıklarından en az biri (CVE-2025-40780), bu savunmaları zayıflatıyor. Açıklamada, "Belirli durumlarda, kullanılan Rastgele Sayı Üreteci'ndeki (PRNG) bir zayıflık nedeniyle, saldırganın BIND'in kullanacağı kaynak portunu ve sorgu kimliğini tahmin etmesi mümkün oluyor. Sahtecilik başarılı olursa, BIND, saldırganın yanıtlarını önbelleğe almaya ikna edilebilir." deniliyor.
CVE-2025-40778 de önbellek zehirleme saldırılarının yeniden canlanma potansiyelini ortaya koyuyor. Yazılım geliştiricileri, "Belirli koşullar altında BIND, yanıtlardan gelen kayıtları kabul etmede fazla esnek davranarak, saldırganın önbelleğe sahte veriler enjekte etmesine izin verebiliyor. Sahte kayıtlar bir sorgu sırasında önbelleğe enjekte edilebilir ve bu da gelecekteki sorguların çözümlenmesini etkileyebilir." şeklinde açıklama yaptı.
Ancak bu durumlarda bile, sonuçları Kaminsky'nin öngördüğü senaryodan önemli ölçüde daha sınırlı olacaktır. Bunun bir nedeni, yetkili sunucuların kendilerinin savunmasız olmaması. Ayrıca, çeşitli önbellek zehirleme karşı önlemleri hala geçerliliğini koruyor. Bunlar arasında DNSSEC gibi dijital imza gerektiren korumalar ve en iyi uygulamalar olarak kabul edilen hız sınırlaması ve sunucu güvenlik duvarı önlemleri bulunuyor.
Saldırının "önemli" olarak nitelendirilmesinin nedeni, saldırının zorlayıcı olması, ağ seviyesinde sahtecilik ve hassas zamanlama gerektirmesi ve sunucu ele geçirilmeden yalnızca önbellek bütünlüğünü etkilemesi olarak belirtildi.
Yine de bu güvenlik açıkları bazı kurumlarda zarar verme potansiyeli taşıyor. Üç açık için de çıkan yamaların mümkün olan en kısa sürede yüklenmesi öneriliyor.
