Интернет-консорциум ISC (Internet Systems Consortium) объявил о двух критических уязвимостях в BIND 9 - одной из самых распространённых в мире реализаций DNS-серверов. Уязвимости, опубликованные 16 июля 2025 года, позволяют злоумышленникам осуществлять атаки с отравлением DNS-кэша и вызывать сбои в работе DNS-резолверов, что может повлиять на миллионы пользователей и организаций по всему миру.
Выявлены критические уязвимости безопасности
Первая уязвимость, получившая идентификатор CVE-2025-40776, представляет собой усовершенствованную атаку типа "birthday attack" против DNS-резолверов с поддержкой EDNS Client Subnet (ECS). Этот серьёзный недостаток безопасности затрагивает исключительно BIND Subscription Edition (-S) и имеет высокий балл CVSS 8.6, что указывает на его потенциально разрушительные последствия для организаций, использующих эту версию программного обеспечения. Уязвимость позволяет злоумышленникам повысить вероятность успешного подбора исходных портов и других критически важных параметров, необходимых для обхода существующих механизмов защиты от отравления кэша. Это делает DNS-резолверы более уязвимыми для поддельных ответов и может привести к перенаправлению пользователей на вредоносные сайты или перехвату их интернет-трафика.
Вторая уязвимость, CVE-2025-40777, хотя и отличается по механизму, не менее опасна. Она может приводить к аварийному завершению работы DNS-сервера из-за сбоя утверждений (assertion failure) при определённых конфигурационных условиях. Оценка CVSS для этого дефекта составляет 7.5, и он затрагивает резолверы, настроенные с параметрами serve-stale-enable yes и stale-answer-client-timeout 0. В таких случаях обработка некоторых цепочек CNAME вызывает неожиданное завершение работы демона DNS, что полностью нарушает доступ к сервису.
Обе уязвимости в первую очередь затрагивают DNS-резолверы, а не авторитативные серверы, хотя ISC подчёркивает необходимость учитывать ситуации, когда авторитативные серверы могут выполнять рекурсивные запросы. Отравление кэша возможно в версиях BIND Subscription Edition от 9.11.3-S1 до 9.20.10-S1, а сбой с аварийным завершением проявляется в версиях 9.20.0-9.20.10 и 9.21.0-9.21.9.
ISC уже выпустил исправленные версии, устраняющие обе проблемы. Организациям, использующим уязвимые версии BIND, рекомендуется как можно скорее обновиться до BIND 9.18.38-S1, 9.20.11-S1, 9.20.11 или 9.21.10 в зависимости от текущей конфигурации. В качестве временного решения администраторы могут отключить функционал ECS для защиты от первой уязвимости либо изменить настройки обработки устаревших ответов (stale-answer), чтобы предотвратить сбои из-за второй.
Уязвимости были обнаружены в ходе внутреннего тестирования и академических исследований, причём заслуга в выявлении проблемы, связанной с ECS, принадлежит Сян Ли (Xiang Li) из AOSP Lab Нанкайского университета. ISC заявляет, что на данный момент нет данных об активных атаках с использованием этих уязвимостей, однако настоятельно рекомендует установить обновления, учитывая высокий уровень возможного ущерба.
Эксперты по информационной безопасности напоминают, что DNS-инфраструктура является критически важной для функционирования интернета, и её компрометация может привести к масштабным последствиям, включая фишинг, мошенничество и простои сервисов. Поэтому оперативное обновление BIND до актуальных версий - ключевая мера защиты для всех организаций, использующих это программное обеспечение. В случае невозможности немедленного обновления рекомендуется дополнительно мониторить сетевую активность на предмет подозрительных запросов и ответов, а также рассмотреть возможность временного отключения уязвимых функций.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-40776
- https://www.cve.org/CVERecord?id=CVE-2025-40777
- https://kb.isc.org/docs/cve-2025-40776
