Специалисты некоммерческой организации, занимающейся поддержкой инфраструктуры интернета, Internet Systems Consortium (ISC), выпустили обновления для DNS-сервера BIND 9, устраняющие сразу три серьезные уязвимости. Две из них позволяют атакующим отравлять кеш, а третья может привести к отказу в обслуживании.
Первая проблема (CVE-2025-40780) получила оценку 8,6 балла по шкале CVSS и связана с багом в генераторе псевдослучайных чисел (PRNG). При определенных обстоятельствах атакующий получает возможность предсказывать исходный порт и ID запроса, которые будут задействованы в коммуникации.
Фактически эта уязвимость является ослаблением защиты, внедренной после знаменитого исследования Дэна Камински (Dan Kaminsky) в 2008 году. Тогда для предотвращения отравления DNS-кеша была внедрена рандомизация портов — вместо одного порта 53 система стала случайно выбирать из тысяч возможных вариантов. Комбинация случайного порта и transaction ID создавала миллиарды возможных вариантов, делая атаки математически невозможными. Новая уязвимость частично подрывает эту защиту.
Злоумышленники могут использовать этот баг в спуфинг-атаках. Если атака успешна, BIND кеширует поддельные ответы злоумышленника вместо легитимных данных, перенаправляя пользователей на вредоносные ресурсы.
Вторая уязвимость (CVE-2025-40778) также получила 8,6 балла по шкале CVSS. Корень этой проблемы заключается в том, что BIND может быть слишком лоялен при приеме записей из ответов. Фактически сервер недостаточно строго валидирует входящие данные.
Это создает возможность для инъекций поддельных записей прямо в кеш DNS-сервера. Атакующие могут предоставить фальшивые данные, которые повлияют на обработку будущих запросов от всех пользователей этого сервера.
Третья проблема (CVE-2025-8677) набрала 7,5 балла по шкале CVSS и представляет собой DoS-уязвимость. Она срабатывает при запросе записей в специально подготовленной зоне с некорректно сформированными DNSKEY-записями. Злоумышленник может эксплуатировать этот баг, чтобы спровоцировать исчерпание ресурсов процессора, что в итоге приведет к отказу в обслуживании (DoS).
В ISC отмечают, что все три уязвимости затрагивают резолверы — серверы, которые обрабатывают DNS-запросы клиентов. Серверы, которые хранят актуальные DNS-записи доменов, не подвержены этим проблемам.
Впрочем, реальная опасность обнаруженных проблем дополнительно ограничена несколькими факторами. Так, специалисты Red Hat не считают CVE-2025-40780 критической, поскольку эксплуатация бага весьма сложна и требует осуществления спуфинга на сетевом уровне с точным таймингом. Более того, уязвимость затрагивает только целостность кеша, но не компрометирует сам сервер.
Также подчеркивается, что ряд защитных мер продолжает работать: DNSSEC, rate limiting и использование файрволов остаются эффективными барьерами против атак на отравление кеша.
Все три проблемы были устранены в BIND версий 9.18.41, 9.20.15 и 9.21.14. Для коммерческой редакции BIND Supported Preview Edition выпущены версии 9.18.41-S1 и 9.20.15-S1.
ISC настоятельно рекомендует всем обновиться как можно скорее. Организации, которые все еще используют старые и неподдерживаемые версии DNS-сервера, должны мигрировать на актуальный релиз.
Также следует отметить, что те же исследователи обнаружили похожие уязвимости в другом популярном DNS-резолвере Unbound, хотя там оценка проблем оказалась еще ниже — 5,6 балла по шкале CVSS.
