Tvůrci DNS serveru BIND varují uživatele před zranitelnostmi, které umožňují útočníkům otrávit mezipaměť výsledků a přesměrovat uživatele na škodlivé stránky, které mohou být k nerozeznání od těch skutečných. Zranitelnosti jsou označeny jako CVE-2025–40778 a CVE-2025–40780, obě mají stupeň závažnosti 8,6 a jsou způsobeny nedokonalostí při generování pseudonáhodných čísel.
Vývojáři DNS resolveru Unbound také varovali před podobnými zranitelnostmi, které byly objeveny stejnými výzkumníky. V případě Unboundu je zranitelnost označena jako CVE-2025–11411 a její závažnost je stanovena hodnotnou 5,7.
Takzvané otrávení DNS keše je útok, který v roce 2008 objevil Dan Kaminski. Spočívá v cíleném odeslání falešných DNS odpovědí resolveru, aby se do jeho keše uložily podvržené informace o vazbě mezi doménou a IP adresou útočníka. Útočník využívá skutečnosti, že resolver přijme první platnou odpověď pro daný dotaz, takže posíláním mnoha rychlých podvržených odpovědí lze přepsat legitimní záznamy a tím přesměrovat uživatele na cizí servery.
Při útoku původně stačilo uhádnout transakční ID, které se ale v řadě implementací nepřidělovalo náhodně, ale například sekvenčně. Vývojáři DNS serverů problém vyřešili tím, že zvýšili entropii – jednak zajistili skutečné náhodnost ID, ale přidali i náhodné UDP porty pro navazování komunikace. Útočník má tedy mnohem těžší úkol a pokud do komunikace nevidí, musí hádat hodnoty z obrovského náhodného prostoru.
Nyní ale bylo předvedeno, že používaný generátor pseudonáhodných čísel (PRNG) je nedokonalý a Za určitých okolností může útočník předpovědět zdrojový port a ID dotazu. Tím je pak schopen do komunikace vstoupit a injektovat do cíle vlastní falešné pakety. Resolvery záplatují problém tím, že vylepšují generátor, aby nebyl tak předvídatelný.
Plnohodnotnou ochranu proti podobným typům útoků zajišťuje rozšíření DNSSEC, které k přenášeným informacím přidává elektronický podpis. Jednotlivé prvky v DNS infrastruktuře pak odmítnou uložit falešnou informaci, která obsahuje neplatný podpis nebo jej nenese vůbec. V zóně .CZ je už takto podepsána většina domén, jejich počet nedávno přesáhl jeden milion.
