Консорциум Internet Systems Consortium (ISC) объявил о выявлении трех критических уязвимостей в BIND 9 - наиболее распространенном программном обеспечении для DNS (системы доменных имен) в мире. Все три уязвимости были раскрыты 22 октября 2025 года и затрагивают DNS-резолверы, потенциально подвергая риску миллионы пользователей по всему миру. Организации, использующие затронутые версии BIND 9, должны немедленно установить обновления безопасности, чтобы предотвратить возможные атаки.
Детали уязвимостей
Система доменных имен является фундаментальным компонентом функционирования интернета, поэтому обнаруженные уязвимости представляют особую опасность для корпоративных сетей, интернет-провайдеров и всех, кто зависит от точного разрешения доменных имен. Злоумышленники, воспользовавшиеся этими недостатками, могут перенаправлять пользователей на вредоносные веб-сайты, перехватывать коммуникации или осуществлять атаки типа "отказ в обслуживании".
Две из трех уязвимостей получили оценку 8,6 по шкале CVSS, что указывает на их критическую серьезность, тогда как третья уязвимость оценивается в 7,5 баллов, что все равно классифицируется как высокий риск. Все они могут быть использованы удаленно через сеть без необходимости аутентификации, что делает их относительно простыми для эксплуатации при определенных условиях.
Первая уязвимость, получившая идентификатор CVE-2025-8677, связана с исчерпанием ресурсов при обработке сформированных особым образом DNSKEY-записей. Когда DNS-резолвер отправляет запросы к специально созданным зонам, содержащим такие записи, сервер испытывает чрезмерную нагрузку на процессор, что приводит к отказу в обслуживании для легитимных клиентов. Эта уязвимость особенно опасна для рекурсивных резолверов, которые обрабатывают DNS-запросы от конечных пользователей.
Две другие уязвимости - CVE-2025-40778 и CVE-2025-40780 - позволяют осуществлять атаки на отравление кэша, давая злоумышленникам возможность внедрять поддельные DNS-записи в кэш резолвера. CVE-2025-40778 использует излишне либеральную политику принятия записей, в то время как CVE-2025-40780 эксплуатирует слабость в генераторе псевдослучайных чисел BIND, позволяя атакующим предсказывать исходные порты и идентификаторы запросов. Успешное отравление кэша влияет на последующие DNS-запросы, потенциально перенаправляя пользователей на инфраструктуру, контролируемую злоумышленниками, на неопределенный срок.
Исследовательская группа по изучению уязвимостей из Университета Цинхуа и Нанкайского университета обнаружила эти проблемы, что демонстрирует продолжающуюся концентрацию внимания исследователей безопасности на инфраструктуре DNS. На текущий момент не известно о каких-либо активных атаках с использованием этих уязвимостей, а также не существует обходных решений, что делает установку исправлений единственной эффективной стратегией защиты.
Организациям рекомендуется немедленно обновить BIND 9 до исправленных версий: 9.18.41, 9.20.15 или 9.21.14. Пользователям Preview Edition следует перейти на версии 9.18.41-S1 или 9.20.15-S1. Учитывая критический характер уязвимостей и их потенциальное влияние на глобальную интернет-инфраструктуру, задержка с установкой обновлений может привести к серьезным последствиям для безопасности.
Эксперты по кибербезопасности подчеркивают, что DNS-инфраструктура остается привлекательной целью для злоумышленников, поскольку компрометация системы доменных имен позволяет осуществлять масштабные атаки, затрагивающие множество пользователей одновременно. Обнаружение этих уязвимостей служит напоминанием о необходимости регулярного обновления критически важных компонентов сетевой инфраструктуры и реализации комплексного подхода к мониторингу безопасности.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-8677
- https://www.cve.org/CVERecord?id=CVE-2025-40778
- https://www.cve.org/CVERecord?id=CVE-2025-40780
- https://kb.isc.org/docs/cve-2025-8677
- https://kb.isc.org/docs/cve-2025-40778
- https://kb.isc.org/docs/cve-2025-40780
