Критическая уязвимость в популярном DNS-сервере BIND 9, идентифицированная как CVE-2025-13878, позволяет злоумышленникам вызывать аварийное завершение работы службы, что приводит к отказам в обслуживании. Уязвимость была раскрыта организацией Internet Systems Consortium (ISC) 21 января 2026 года. Эксплуатация уязвимости не требует аутентификации, что делает её особенно опасной для инфраструктуры доменных имён.
Детали уязвимости
Проблема заключается в обработке специально сформированных записей типов BRID (Border Router ID) и HHIT (Host Identity with Hash). Эти записи относятся к экспериментальным расширениям, таким как Host Identity Protocol (HIP), которые редко используются в реальных инфраструктурах, но всё равно обрабатываются BIND. Когда процесс "named" сталкивается с повреждённой BRID или HHIT записью в ответе на DNS-запрос, это приводит к повреждению памяти или сбою утверждений (assertion failure), за которым следует крах службы. Поскольку уязвимость активируется при обработке запроса, удалённые злоумышленники могут отправлять специально созданные DNS-пакеты по UDP или TCP на любой уязвимый сервер, вынуждая его перезапускаться и нарушая работоспособность.
Уязвимость получила высокий балл 7.5 по шкале CVSS v3.1. Вектор атаки оценивается как CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H. Это означает, что атака не влияет на конфиденциальность или целостность данных, но наносит серьёзный ущерб доступности. Злоумышленники могут циклически вызывать сбои, чтобы сделать серверы неотзывчивыми. Затронутыми оказались несколько стабильных веток BIND 9. В частности, уязвимы версии 9.18.40-9.18.43, 9.20.13-9.20.17 и 9.21.12-9.21.16. Патчи уже выпущены в версиях 9.18.44, 9.20.18 и 9.21.17 соответственно. Аналогичные обновления доступны для поддерживаемых preview-версий. ISC настоятельно рекомендует администраторам немедленно проверить свою версию с помощью команды "named -V" и обновить сервер, загрузив исправленные сборки с официального сайта. Эффективных обходных путей не существует, поскольку отключение функций, связанных с HIP, не предотвращает обработку этих записей.
Для обнаружения возможных атак или сканирований специалисты по безопасности рекомендуют мониторить логи на предмет определённых сигнатур. Ключевыми индикаторами компрометации могут служить записи в логах, такие как "assertion failure" или "malformed RDATA", найденные в "named.run" или "syslog", за которыми следует сообщение о преждевременном завершении работы сервера. Кроме того, стоит обратить внимание на аномальные всплески UDP- или TCP-запросов к 53 порту, содержащих неизвестные типы записей, соответствующие BRID (65534) и HHIT (65535). Для анализа сетевого трафика можно использовать фильтры в Wireshark или "tcpdump". Повторяющиеся перезапуски процесса "named", наблюдаемые через "ps aux" или "journalctl", также являются тревожным сигналом. Подозрительными считаются высокообъёмные запросы с одного IP-адреса, содержащие записи с недопустимой длиной.
В качестве мер смягчения последствий до применения патча можно рассмотреть развёртывание ограничения скорости запросов на DNS-портах с помощью правил "iptables". Включение проверки DNSSEC и функции Response Rate Limiting в конфигурационном файле "named.conf" также может обеспечить дополнительную защиту. Уязвимость была обнаружена Влатко Костурджаком из компании Marlink Cyber. На момент раскрытия информации об активных атаках в дикой природе не известно. Однако учитывая относительную простоту эксплуатации, появление proof-of-concept кода или сканеров в ближайшее время весьма вероятно. Эксперты напоминают, что BIND, по последним данным, обслуживает около 18% DNS-серверов в мире, поэтому оперативное применение исправлений критически важно для предотвращения масштабных сбоев в работе интернета.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-13878
- https://kb.isc.org/docs/cve-2025-13878
- https://downloads.isc.org/isc/bind9/9.18.44
- https://downloads.isc.org/isc/bind9/9.20.18
- https://downloads.isc.org/isc/bind9/9.21.17
- http://www.openwall.com/lists/oss-security/2026/01/21/3
