Se stai usando CoreDNS per gestire il DNS della tua infrastruttura, questa vulnerabilità può mandare in crisi i tuoi servizi in pochi secondi. Un attacker remoto non autenticato può saturare la memoria del server con troppe connessioni, troppi stream o richieste troppo grandi, causando rallentamenti, blocchi o crash.
La soluzione veloce per metterti al riparo è:
– Aggiornare CoreDNS almeno alla versione 1.14.0 o successive.
– Abilitare limiti di risorse e dimensione delle richieste sui server gRPC, HTTPS e HTTP/3.
– Monitorare memoria, CPU e numero di connessioni per intercettare comportamenti anomali.
Questa guida ti spiega prima in modo semplice cosa comporta CVE-2025-68151 e cosa fare subito, e poi entra nel dettaglio tecnico nella sezione “Technical Deep Dive” rivolta ad amministratori di sistema, DevOps e security engineer.
—
Cos’è CVE-2025-68151 in parole semplici
CVE-2025-68151 è una vulnerabilità che riguarda CoreDNS, un server DNS modulare molto usato in ambienti moderni, soprattutto in cluster Kubernetes, piattaforme cloud e infrastrutture containerizzate.
In pratica:
– Alcune implementazioni di CoreDNS (in particolare server gRPC, HTTPS e HTTP/3) non applicano limiti sufficienti a:
– numero di connessioni concorrenti;
– numero di stream;
– dimensione dei messaggi o del body delle richieste.
– Un attacker che raggiunge il tuo CoreDNS può inviare molte richieste simultanee o richieste troppo grandi, consumando rapidamente memoria e risorse di calcolo.
– Il risultato può essere:
– degrado delle prestazioni (DNS lento o intermittente);
– esaurimento della memoria;
– crash del servizio DNS, con impatto a catena su tutte le applicazioni che dipendono dalla risoluzione dei nomi.
Non serve autenticazione: chiunque possa raggiungere il servizio esposto può tentare l’attacco.
—
Perché questa vulnerabilità è pericolosa
Il DNS è uno dei punti più critici di qualsiasi infrastruttura: se il DNS non funziona o è lento, moltissimi servizi diventano irraggiungibili, anche se le applicazioni in sé sono sane.
Con CVE-2025-68151:
– Un singolo host malevolo può stressare il server CoreDNS in modo mirato.
– L’attacco è una forma di Denial of Service (DoS):
– punta a saturare la memoria e le risorse;
– può bloccare uno o più nodi su cui gira CoreDNS;
– può compromettere la disponibilità complessiva del cluster.
– La vulnerabilità è simile alla CVE-2025-47950 (QUIC DoS), ma coinvolge più tipi di server (non solo QUIC) e in particolare quelle implementazioni che non fanno rispettare limiti su connessioni, stream e dimensioni dei messaggi.
In contesti multi-tenant, cloud o esposti verso Internet, questo tipo di problema è particolarmente delicato, perché l’origine dell’attacco può essere molto difficile da controllare.
—
Cosa devi fare subito (azione prioritaria)
Le tre azioni più urgenti e concrete sono:
- Aggiorna CoreDNS almeno alla versione 1.14.0
– La release 1.14.0 include una patch che introduce o corregge i meccanismi di limitazione delle risorse nelle implementazioni server interessate.
– Assicurati che tutte le istanze di CoreDNS, inclusi add-on di cluster Kubernetes o distribuzioni integrate in piattaforme cloud, siano allineate a 1.14.0 o versione successiva.
- Configura limiti di risorse e dimensioni dei messaggi
– Imposta limiti di memoria e CPU a livello di container/pod (ad esempio con resources.limits in Kubernetes).
– Configura, dove previsto, limiti sul numero massimo di connessioni e stream, oltre a limiti sulla dimensione delle richieste (body/message size).
- Monitora il comportamento del server DNS
– Controlla periodicamente:
– utilizzo di memoria e CPU del pod/servizio CoreDNS;
– numero di connessioni aperte;
– tempi di risposta DNS;
– eventi di crash o riavvio improvviso.
– Integra allarmi per picchi anomali su queste metriche.
—
Prodotti e contesti colpiti
La vulnerabilità CVE-2025-68151 riguarda CoreDNS come prodotto, in particolare quando viene utilizzato con implementazioni di server gRPC, HTTPS e HTTP/3 che non applicano limiti robusti.
In sintesi è coinvolto:
– Vendor: CoreDNS (coredns.io)
– Prodotto: coredns
Se utilizzi CoreDNS:
– come add-on DNS in cluster Kubernetes (on-premises o managed);
– come componente di un’infrastruttura DNS interna;
– in combinazione con protocolli moderni (gRPC, HTTP/3, HTTPS),
è necessario verificare la versione in uso e la configurazione dei limiti.
—
Gravità e classificazione della vulnerabilità
CVE-2025-68151 è una vulnerabilità classificata tramite CVSS 4.0, con severità MEDIUM. Pur non essendo nel range “critical”, l’impatto operativo può essere severo perché:
– è possibile l’attacco senza autenticazione;
– colpisce un servizio infrastrutturale centrale (DNS);
– può causare indisponibilità di larga parte dei servizi applicativi che dipendono dalla risoluzione dei nomi.
La vulnerabilità è inoltre associata al CWE-770 – Allocation of Resources Without Limits or Throttling, che indica in modo chiaro la causa principale: risorse allocate senza limiti o meccanismi di throttling adeguati.
—
Linee guida pratiche di mitigazione
Di seguito alcune buone pratiche, utili sia in fase di risposta immediata, sia come strategia di lungo periodo.
1. Aggiornamento e gestione delle versioni
– Identifica tutte le istanze di CoreDNS presenti in:
– cluster Kubernetes (managed e self-managed);
– VM o server bare-metal;
– ambienti di test, staging e produzione.
– Pianifica un upgrade coordinato a CoreDNS 1.14.0 o superiore, includendo:
– test in ambienti non di produzione;
– validazione funzionale (risoluzione DNS, integrazione con altri servizi);
– piano di rollback documentato.
2. Hardening della configurazione
– Imposta, dove disponibile:
– limiti sul numero di connessioni simultanee per client;
– limiti sul numero di stream per connessione;
– limite massimo alla dimensione del messaggio.
– Valuta l’uso di rate limiting e protezione da DoS a monte (firewall applicativi, ingress controller, proxy) per ridurre il volume di traffico malevolo che arriva a CoreDNS.
3. Limitazione dell’esposizione del servizio
– Evita, ove possibile, di esporre CoreDNS direttamente verso Internet.
– Colloca CoreDNS dietro:
– firewall;
– load balancer con controlli di sicurezza;
– regole di rete che consentano l’accesso solo a host e servizi autorizzati.
4. Monitoraggio continuo e logging
– Abilita e centralizza i log delle richieste DNS e dei componenti CoreDNS.
– Monitora pattern sospetti, ad esempio:
– aumento improvviso del numero di richieste da pochi IP;
– body delle richieste insolitamente grandi;
– spike su memoria/CPU temporaneamente non correlati a picchi di traffico legittimo.
– Integra questi log con il tuo SIEM o piattaforma di osservabilità per automatizzare alert e correlate eventi.
—
Collegamento con CAPEC e altre vulnerabilità
Nel panorama della sicurezza, CVE-2025-68151 si inserisce nella famiglia di attacchi di tipo Denial of Service tramite esaurimento delle risorse. Le CAPEC (Common Attack Pattern Enumeration and Classification) descrivono diversi pattern che:
– sfruttano l’assenza di limiti nelle risorse (memoria, connessioni, thread);
– fanno leva su protocolli orientati a flussi e stream;
– utilizzano payload volutamente oversized per massimizzare l’impatto.
La vulnerabilità è inoltre simile, per natura, alla CVE-2025-47950 (QUIC DoS), che prende di mira connessioni QUIC, ma CVE-2025-68151 ha un raggio d’azione più ampio perché riguarda ulteriori tipologie di server che non fanno rispettare limiti stringenti.
—
Raccomandazioni operative per team DevOps e Security
Per strutturare una risposta solida alla vulnerabilità:
– Integra CVE-2025-68151 nel tuo processo di vulnerability management (inventario asset, priorità, remediation).
– Aggiorna:
– documentazione interna su CoreDNS e DNS aziendale;
– runbook di incident response per incidenti DNS e DoS.
– Esegui simulazioni o tabletop exercise in cui:
– il DNS diventa parzialmente o totalmente indisponibile;
– il team deve attivare i piani di continuità operativa.
—
Technical Deep Dive
Questa sezione è destinata a tecnici, SRE, DevOps e security engineer che desiderano comprendere meglio la natura della vulnerabilità CVE-2025-68151 e le implicazioni architetturali.
Natura tecnica del problema
CoreDNS è un server DNS modulare basato su una catena di plugin (plugin chain). Nelle implementazioni che espongono DNS via gRPC, HTTPS e HTTP/3, alcune versioni precedenti alla 1.14.0 presentano:
– assenza o incompletezza di controlli su:
– numero di connessioni per client;
– numero di stream per connessione;
– massima dimensione del body delle richieste;
– gestione delle risorse di memoria che non applica quota, limiti o meccanismi di backpressure sufficienti.
Questo comporta che, in condizioni di traffico malevolo, il server possa accettare:
– un numero eccessivo di connessioni simultanee;
– una quantità eccessiva di stream attivi;
– request body volutamente molto grossi.
In mancanza di limiti e throttling, la memoria utilizzata dal processo di CoreDNS può crescere oltre le soglie gestibili, portando a:
– garbage collector stressato (in ambienti Go);
– rallentamento generale del processo;
– potenziale out-of-memory (OOM) con terminazione del processo da parte del sistema.
Relazione con CWE-770
L’associazione con CWE-770 (Allocation of Resources Without Limits or Throttling) descrive con precisione il difetto strutturale:
– le risorse (in questo caso memoria, connessioni e stream) vengono allocate senza un vincolo esplicito;
– manca un meccanismo che limiti o rallenti l’allocazione quando viene raggiunta una soglia di sicurezza;
– un attore malevolo può innescare intenzionalmente scenari in cui il sistema non è in grado di rilasciare o riciclare risorse abbastanza velocemente.
CVSS 4.0 e considerazioni sul rischio
Secondo la metrica CVSS 4.0, la vulnerabilità è classificata come MEDIUM, ma:
– il contesto d’uso di CoreDNS è spesso critico (control plane, cluster DNS, risoluzione per microservizi);
– gli attacchi DoS a DNS possono avere effetto a cascata su moltissime componenti.
In architetture moderne, il DNS è spesso un single point of failure logico, anche quando esistono repliche e pod multipli, perché tutti i client utilizzano lo stesso set di server DNS upstream.
Differenze rispetto a CVE-2025-47950 (QUIC DoS)
Sebbene CVE-2025-68151 sia “simile per natura” alla CVE-2025-47950 (QUIC DoS), le differenze chiave sono:
– CVE-2025-47950 si focalizza su attacchi DoS legati a connessioni QUIC;
– CVE-2025-68151 estende il problema a più tipologie di server (gRPC, HTTPS, HTTP/3) all’interno di CoreDNS;
– in CVE-2025-68151 l’attenzione è accentuata su connection limits, stream limits e message size constraints non applicati o non applicati in modo robusto.
Patch in CoreDNS 1.14.0
La versione 1.14.0 introduce una correzione che aggiunge o rafforza i controlli di limitazione delle risorse. A livello concettuale, la patch mira a:
– imporre limiti massimi configurabili su connessioni e stream;
– applicare soglie di dimensione per i messaggi o i body delle richieste;
– garantire che, al superamento delle soglie, il server possa:
– rifiutare nuove connessioni;
– terminare stream considerati abusivi;
– restituire errori appropriati senza compromettere la stabilità del processo.
Per i tecnici è importante:
– leggere le note di rilascio di CoreDNS relative alla 1.14.0;
– verificare i nuovi parametri di configurazione introdotti per:
– limiti numerici (connessioni, stream);
– timeouts;
– dimensioni massime del payload;
– integrare tali impostazioni con i limiti imposti a livello di:
– orchestratore (es. Kubernetes resources.limits);
– networking (rate limiting su ingress, firewall, proxy);
– sistema operativo (limiti sui file descriptor, controlli kernel).
Suggerimenti avanzati di hardening
Per ambienti ad alta criticità si raccomanda inoltre:
– Pod Security e isolamento:
– eseguire CoreDNS in namespace dedicato con policy restrittive;
– applicare NetworkPolicy per limitare chi può interrogare CoreDNS.
– Ridondanza e resilienza:
– distribuire più repliche di CoreDNS con bilanciamento del carico;
– usare server DNS upstream multipli per evitare single point of failure.
– Test di carico e di resilienza:
– eseguire test di carico mirati a simulare condizioni di oversize message e connection flood;
– validare che i limiti configurati entrino effettivamente in azione.
Queste misure, combinate con l’aggiornamento a CoreDNS 1.14.0 o successiva, riducono drasticamente la superficie di attacco associata a CVE-2025-68151 e rafforzano la postura complessiva di sicurezza e disponibilità del tuo sistema DNS.
