Консорциум интернет-систем (Internet Systems Consortium, ISC), организация, ответственная за поддержку ключевой инфраструктуры интернета, опубликовала экстренные бюллетени безопасности. Они касаются трёх новых уязвимостей в программном пакете BIND 9, который является основой для работы подавляющего большинства доменных серверов (DNS) по всему миру. Обнародованные 25 марта 2026 года недостатки позволяют злоумышленникам обходить списки контроля доступа, вызывать катастрофическую нагрузку на процессор или полностью выводить из строя серверы. Учитывая фундаментальную роль DNS в функционировании интернета, эти уязвимости представляют серьёзный риск для стабильности глобальной сети, затрагивая как корпоративные, так и государственные инфраструктуры. Сетевые администраторы должны в срочном порядке установить предоставленные исправления.
Детали уязвимостей
Наиболее критичной из трёх проблем эксперты считают уязвимость CVE-2026-1519 с высоким уровнем опасности. Она может привести к реализации атаки типа "отказ в обслуживании" (Denial of Service, DoS). Механизм эксплуатации связан с технологией DNSSEC, которая призвана защищать целостность DNS-данных с помощью криптографической подписи. Однако, когда сервер-резолвер BIND выполняет проверку DNSSEC для специально созданной зоны, запускается процесс чрезмерных итераций NSEC3. Это приводит к потреблению огромного количества ресурсов центрального процессора и резкому падению производительности сервера, который перестаёт справляться с обычными запросами. Технически отключение проверки DNSSEC может временно нивелировать угрозу, но специалисты по кибербезопасности единогласно выступают против такого подхода, поскольку он лишает инфраструктуру важнейшего механизма защиты от подмены DNS-записей.
Вторая уязвимость, получившая идентификатор CVE-2026-3119, оценивается как среднеопасная. Она также может вызвать отказ в обслуживании, но через неожиданный аварийный сбой основного процесса named. Для этого злоумышленнику необходимо отправить на сервер корректно подписанный запрос, содержащий специальную TKEY-запись. Ключевым условием успешной атаки является наличие у атакующего действительной транзакционной подписи (Transaction Signature, TSIG) от ключа, уже объявленного в конфигурации целевого сервера. Это несколько сужает потенциальный круг жертв, но оставляет риск для систем, где такие ключи скомпрометированы или управляются небрежно. В качестве временной меры администраторам рекомендуется провести аудит и удалить из конфигурации все сомнительные или более не нужные TSIG-ключи.
Третья проблема, CVE-2026-3591, представляет собой уязвимость типа "использование памяти после возврата из функции" (use-after-return) в коде, обрабатывающем сигнатуры SIG(0). Отправляя специально сформированный DNS-запрос, атакущий может заставить сервер некорректно сопоставить IP-адрес с его списком контроля доступа (Access Control List, ACL). В сетях, где по умолчанию используется разрешающая политика ACL, данная ошибка может предоставить несанкционированный доступ к внутренним зонам или служебным интерфейсам, которые должны быть изолированы. Для этой уязвимости не существует известных обходных путей, что делает установку официального патча единственным надёжным решением.
Консорциум ISC отмечает, что на текущий момент не зафиксировано случаев активной эксплуатации этих уязвимостей в дикой природе. Однако, учитывая повсеместное распространение BIND и критичность DNS для работы любого онлайн-сервиса, промедление с обновлением чревато масштабными инцидентами. Между тем, потенциальные последствия выходят далеко за рамки простоев отдельных сайтов. Успешная DoS-атака на ключевые резолверы может парализовать доступ к интернету для целых организаций или регионов, в то время как обход ACL открывает путь для последующих более глубоких вторжений в корпоративные сети.
Организация уже выпустила исправленные версии программного обеспечения для всех поддерживаемых веток. В зависимости от используемой версии, администраторам необходимо обновиться до BIND 9.18.47, 9.20.21 или 9.21.20. Кроме того, клиенты, использующие специальную редакцию BIND Supported Preview Edition, должны незамедлительно применить соответствующие патчи серии S1. Процедура обновления для такого фундаментального компонента инфраструктуры требует тщательного планирования, но в данной ситуации её необходимо выполнить в приоритетном порядке. Специалистам также рекомендуется пересмотреть конфигурации ACL и политики использования TSIG-ключей, чтобы минимизировать поверхность атаки даже после установки исправлений. Стабильность и безопасность интернета в очередной раз зависят от оперативных и согласованных действий системных администраторов по всему миру.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-1519
- https://www.cve.org/CVERecord?id=CVE-2026-3119
- https://www.cve.org/CVERecord?id=CVE-2026-3591
- https://kb.isc.org/v1/docs/cve-2026-3591
- https://downloads.isc.org/isc/bind9/9.18.47
- https://downloads.isc.org/isc/bind9/9.20.21
- https://downloads.isc.org/isc/bind9/9.21.20
