Internet Systems Consortium (ISC) выпустила плановые обновления для DNS‑сервера BIND 9, устраняющие три значимые уязвимости в резолвере. Две из них создают условия для отравления DNS‑кеша, а третья способна вызвать отказ в обслуживании. Обновления доступны в ветках 9.18.41, 9.20.15 и 9.21.14; для коммерческой редакции BIND Supported Preview Edition опубликованы 9.18.41‑S1 и 9.20.15‑S1. Администраторам рекомендуется обновиться без промедления.
Что исправлено: три уязвимости в BIND 9
CVE-2025-40780 (CVSS 8.6): предсказуемость порта и ID запроса
Первая проблема связана с багом в генераторе псевдослучайных чисел (PRNG), из‑за чего в определённых условиях возможно предсказать исходный порт и идентификатор транзакции (TXID) при исходящих DNS‑запросах. Такая предсказуемость ослабляет защиту, введённую после исследования Дэна Камински в 2008 году, когда отрасль перешла на рандомизацию портов как ключевую меру против cache poisoning. Если злоумышленнику удаётся синхронизировать спуфинг‑пакеты по таймингу, BIND может закешировать поддельный ответ вместо легитимного, перенаправляя пользователей на вредоносные домены.
CVE-2025-40778 (CVSS 8.6): избыточно лояльная обработка ответов
Вторая уязвимость обусловлена тем, что резолвер недостаточно строго валидирует записи, поступающие в ответах. Это даёт возможность внедрять поддельные ресурсные записи непосредственно в кеш DNS‑сервера. На практике это позволяет атакующему повлиять на разрешение имён для всех клиентов, обслуживаемых данным резолвером.
CVE-2025-8677 (CVSS 7.5): DoS через некорректные DNSKEY
Третий баг представляет собой уязвимость отказа в обслуживании. Запросы к zone‑данным со специально подготовленными и некорректно сформированными DNSKEY могут привести к повышенному потреблению CPU и, как следствие, к деградации производительности или полной недоступности сервиса.
Кого затрагивает и каков реальный риск
По данным ISC, уязвимости затрагивают резолверы (recursive servers). Авторитативные DNS‑серверы, обслуживающие собственные зоны, не подвержены данным проблемам. Эксперты Red Hat оценивают CVE-2025-40780 как сложную для эксплуатации: атака требует сетевого спуфинга с точным таймингом, а воздействие ограничивается целостностью кеша — компрометации самого сервера не происходит.
При этом часть отраслевых защит остаётся эффективной. DNSSEC‑валидация блокирует большинство сценариев cache poisoning, rate limiting снижает эффект злоупотреблений, а корректно настроенные файрволы и антиспуфинг‑фильтрация на периметре уменьшают поверхность атаки.
Рекомендации администраторам и безопасникам
1) Срочное обновление: установите версии 9.18.41, 9.20.15 или 9.21.14 (для BIND SPE — 9.18.41‑S1/9.20.15‑S1). После обновления выполните очистку кеша (rndc flush), чтобы исключить возможные ранее внедрённые записи.
2) Включите и строго поддерживайте DNSSEC: активируйте проверку подписей, регулярно обновляйте trust anchor (KSK корневой зоны), отслеживайте валидность цепочек. DNSSEC существенно снижает вероятность успешной подмены ответов.
3) Ограничьте доступ к рекурсии: применяйте ACL для доверенных сетей, включите Response Rate Limiting (RRL), используйте qname‑minimization и убедитесь, что рандомизация исходных портов и ID запроса не отключена.
4) Сетевой антиспуфинг: реализуйте фильтрацию по принципам BCP 38/84 на граничных маршрутизаторах, контролируйте egress/ingress‑трафик, чтобы минимизировать возможность спуфинга на уровне сети.
5) Мониторинг и реакция: включите детализированное логирование DNS, настроите алерты на всплески NXDOMAIN/ServFail, аномалии по CPU для предотвращения DoS, и периодически проводите тесты целостности кеша.
Контекст: похожие проблемы в Unbound
Исследователи, сообщившие о багах в BIND, обнаружили схожие уязвимости в популярном резолвере Unbound. Там риск оценён ниже — 5,6 по CVSS, однако операторам смешанных сред имеет смысл синхронно проверить актуальность обновлений и конфигураций защиты для всех используемых DNS‑компонентов.
Доля успешных атак на DNS‑инфраструктуру растёт в периоды активной эксплуатации сетевых уязвимостей. Быстрое обновление BIND 9, жёсткая валидация ответов и внедрение DNSSEC остаются базовыми мерами снижения риска. Проверьте версии резолверов, пересмотрите ACL, включите RRL и антиспуфинг. Регулярные тесты и мониторинг помогут оперативно выявить попытки отравления кеша и предотвратить перебои в работе критичных сервисов.
