Vi presentiamo PostScale -- API email per invii transazionali, ricezione e indirizzi mascherati. PostScale

    Vulnerabilità critica di BIND 9 espone oltre 700 000 server DNS

    Published on October 28, 2025

    Una nuova vulnerabilità critica nei resolver BIND 9 minaccia l'infrastruttura DNS mondiale. DNScale spiega cosa è successo, perché è importante e come un hosting DNS resiliente mitiga questi rischi.

    Nell'ottobre 2025, i ricercatori di sicurezza informatica hanno pubblicato prove che il software server DNS BIND 9 (Berkeley Internet Name Domain versione 9), ampiamente utilizzato, contiene una grave falla. Secondo CyberUpdates365, "oltre 706 000 istanze esposte di resolver BIND 9 sono vulnerabili ad attacchi di cache poisoning" (CVE-2025-40778), che "potrebbero consentire il reindirizzamento del traffico verso siti malevoli." (cyberupdates365.com) Un'analisi di The Cyber Express ha rilevato che il bug consente ad attaccanti off-path di "iniettare record DNS falsificati nelle cache dei resolver senza accesso diretto alla rete." (thecyberexpress.com) Si tratta di una delle minacce più diffuse all'infrastruttura DNS degli ultimi anni.

    Cosa è successo

    La vulnerabilità deriva dal modo in cui BIND 9 gestisce i record di risorse DNS non richiesti. Gli attaccanti possono sfruttarla per avvelenare la cache di un resolver, facendogli restituire indirizzi IP errati per domini legittimi. Molte reti e provider di servizi utilizzano resolver BIND 9, quindi l'impatto potenziale si estende dalle reti aziendali interne ai servizi DNS pubblici.

    Cos'è il DNS?

    Il Domain Name System (DNS) traduce nomi comprensibili come dnscale.eu in indirizzi IP numerici che i computer utilizzano per comunicare. Se questo livello di traduzione viene compromesso, gli utenti possono essere indirizzati verso siti malevoli senza alcun avviso visibile. Il DNS si trova in prima linea nella connettività e nella sicurezza.

    Perché questa vulnerabilità è importante

    Poiché la risoluzione DNS è fondamentale per la connettività internet, qualsiasi debolezza in questo ambito può avere conseguenze a cascata. Un attacco di cache poisoning riuscito potrebbe reindirizzare gli utenti, rubare credenziali o distribuire malware su larga scala. Con oltre 700 000 istanze vulnerabili, questo non è semplicemente un rischio teorico; è una minaccia globale reale e attiva. Le organizzazioni che si affidano a configurazioni DNS predefinite senza mitigazione attiva sono particolarmente esposte. La velocità con cui sono comparsi exploit e proof-of-concept aumenta l'urgenza.

    Lezioni chiave dall'incidente BIND 9

    1. Aggiornare regolarmente il software DNS: Anche l'infrastruttura più affidabile deve essere mantenuta e monitorata.
    2. Considerare i resolver come obiettivi pubblici: Proteggi i tuoi resolver DNS interni ed esterni con controlli di accesso rigorosi.
    3. Monitorare le anomalie: Cambiamenti imprevisti nelle risposte DNS o reindirizzamenti inspiegabili possono indicare un tentativo di cache poisoning.
    4. Utilizzare ridondanza e segmentazione: Evita di dipendere da un singolo resolver o da una singola versione software quando la tua infrastruttura serve molti utenti o servizi.

    Come DNScale previene questi problemi

    In DNScale, affrontiamo la sicurezza DNS con difese a più livelli e monitoraggio proattivo. La nostra infrastruttura resolver utilizza più stack software e implementazioni di diversi fornitori, riducendo il rischio che un singolo bug comprometta l'intero sistema. Monitoriamo il comportamento DNS in tempo reale, allertando i nostri ingegneri su pattern di query insoliti o risposte cache inattese da qualsiasi nodo della rete.

    Forniamo anche avvisi automatici e monitoraggio delle patch software, aiutando i clienti a rimanere informati quando i componenti DNS sottostanti cambiano o quando le vulnerabilità vengono risolte. I nostri clienti sono protetti da salvaguardie integrate come l'isolamento del traffico, i backup continui e il controllo granulare degli accessi.

    Con il deployment Anycast globale e il peering multi-vendor, DNScale garantisce che nessun singolo guasto o vulnerabilità dei resolver possa causare un'interruzione diffusa. Ogni record e query viene gestito all'interno di una rete resiliente costruita per sicurezza e affidabilità. Su dnscale.eu troverai un hosting DNS che tratta l'integrità del tuo dominio come una priorità, non come un ripensamento.

    Conclusione

    La vulnerabilità di BIND 9 è un chiaro promemoria che anche il software DNS più affidabile può essere compromesso. La differenza tra mantenere l'operatività e subire un'interruzione dipende spesso dalla solidità della propria infrastruttura DNS. Con DNScale, ottieni servizi DNS progettati per proteggere, performare e resistere, qualunque sfida si presenti.