Угроза для 1000+ российских DNS‑серверов: критические уязвимости в ICS BIND 9

В рекурсивном DNS‑резолвере ICS BIND 9 нашли две критические уязвимости: CVE‑2025‑40778 и CVE‑2025‑40780. Первую обнаружила группа из университета Цинхуа, вторую открыли исследователи из Еврейского университета в Иерусалиме.

CVE-2025-40778 позволяет атакующим отравлять DNS‑кеш. Злоумышленник может заставить рекурсивный DNS‑резолвер сохранять в кеше лишние DNS‑записи из ресурсов доменных имен (RRs), которые находятся в секции DNS‑ответа подконтрольного сервера. При разрешении домена резолвер получает несколько ответов. Один из них — легитимный, а остальные — поддельные записи для других доменов с длительным сроком хранения данных. Если запись в кеше устарела или отсутствует, резолвер может сохранить поддельную запись и начать выдавать ее за правдивую.

CVE‑2025‑40780 затрагивает генератор псевдослучайных чисел (PRNG) в BIND (Berkeley Internet Name Domain). Это снижает энтропию критически важных параметров для проверки ответов, таких как порт источника и TXID. И в результате атакующим становится проще подобрать корректный спуф‑ответ. Современные резолверы используют DNS Cookies, а также рандомизацию портов или ID для дополнительной защиты. Однако слабозащищенный PRNG существенно снижает их эффективность, делая эксплуатацию CVE‑2025‑40778 более простой.

Специалисты BI.ZONE Secure DNS рекомендуют срочно обновить ICS BIND до последних версий. Это поможет избежать цепочки атак. Уже появились PoC этой комбинации уязвимостей, что повышает риск их эксплуатации.

BI.ZONE Secure DNS — это рекурсивный резолвер, созданный на базе ядра нашей разработки. Он контролирует все DNS‑транзакции, предотвращая техники отравления DNS‑кеша.