Een ernstige kwetsbaarheid, bekend als ‘Rebirthday Attack’, is ontdekt in cachende resolvers die ondersteuning bieden voor EDNS Client Subnet (ECS). Dit omvat varianten van Unbound voor versie 1.23.0, geconfigureerd met ECS-ondersteuning. Door de ECS-configuratie zijn deze systemen kwetsbaar voor aanvallen waarbij een kwaadwillende cache poisoning-aanvallen kan uitvoeren, wat leidt tot het cachen van valse DNS-antwoorden. Het technische gevaar is aanzienlijk, vooral vanwege de potentiële omleiding van netwerktrafiek naar malafide websites.
Een aanvaller kan via deze kwetsbaarheid ongeoorloofde toegang verkrijgen en de gegevensintegriteit van het netwerk ernstig ondermijnen. Bent u beheerder van Unbound DNS-resolvers? Controleer dan snel of uw systeem geconfigureerd is met ECS-ondersteuning en neem meteen maatregelen.
Overzicht
De kwetsbaarheid CVE-2025-5994 was publiekelijk aangekondigd op 16 juli 2025 en betreft de ondersteuning voor EDNS Client Subnet in DNS-resolvers. Deze configuratie maakt het mogelijk om misbruik te maken van de ‘birthday paradox’, waardoor het makkelijk wordt om transaction IDs te raden en niet-authentieke gegevens in de cache op te slaan.
Aanbevelingen
- Update naar Unbound versie 1.23.1 of nieuwer om de gepatchte versie te draaien.
- Indien ECS niet noodzakelijk is, overweeg het uitschakelen van deze functie als tijdelijke maatregel.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-5994?
Dit is een cache poisoning kwetsbaarheid genaamd ‘Rebirthday Attack’ die DNS-resolvers met ECS-configuratie beïnvloedt.
Welke systemen zijn kwetsbaar voor CVE-2025-5994?
Alle Unbound systemen geconfigureerd met ECS met versies lager dan 1.23.0.
Bestaat er al een patch of beveiligingsupdate?
Ja, versie 1.23.1 van Unbound bevat de benodigde fix.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan niet-authentieke DNS-antwoorden cachen, waardoor verkeer naar verkeerde adressen wordt geleid.
