Marlink Cyber обяви, че е открила и отговорно разкрила уязвимост в ISC BIND – една от най-широко използваните услуги за Domain Name System (DNS), осигуряваща резолюция на имена в интернет и корпоративни мрежи. Проблемът представлява уязвимост за отказ на услуга (DoS), която може да доведе до срив на BIND услугата и прекъсване на DNS функционалността.

Уязвимостта е резултат от координирано изследване, насочено към повишаване на сигурността на критичната интернет инфраструктура.

Как работи уязвимостта

Според публикувания технически анализ, проблемът се активира при обработка на два неправилно формирани DNS resource record типа:

• HHIT (тип 67)

• BRID (тип 68)

Когато дължината на RDATA полето при тези записи е по-малка от три октета, в имплементацията на функцията dns_rdata_towire() в ISC BIND се задейства assertion, което води до незабавно прекратяване на процеса named.

Резултатът е директен отказ на услуга, при който DNS сървърът спира да отговаря на заявки.

Важно е да се отбележи, че HHIT и BRID са част от имплементацията на IETF DRIP Entity Tags в ISC BIND.

Обхват и възможности за експлоатация

Уязвимостта може да бъде експлоатирана дистанционно, както при recursive, така и при forwarding режим на работа на DNS сървъра. За успешна атака е необходимо единствено сървърът да обработи специално подготвено DNS съобщение, съдържащо некоректен HHIT или BRID запис.

Акценти:

• Не е необходима автентикация

• Не се изисква локален достъп

• Експлоатацията се счита за лесна

• Няма доказателства за активно използване „в дивата природа“

Анализът на Marlink показва, че произволно изпълнение на код не е възможно, а въздействието е ограничено до прекъсване на услугата чрез срив.

Идентификация и оценка на риска

Уязвимостта е регистрирана под следните идентификатори:

• MCSAID-2025-015

• CVE-2025-13878

• CVSS оценка: 7.5 (High severity)

Това я поставя в категорията на уязвимостите с висок риск, особено с оглед критичната роля на DNS в интернет и корпоративните среди.

Засегнати версии на ISC BIND

Проблемът засяга следните версии:

• 9.18.43 и по-стари

  • включително 9.18.40 – 9.18.43

  • 9.18.40-S1 – 9.18.43-S1

• 9.20.17 и по-стари

  • включително 9.20.13 – 9.20.17

  • 9.20.13-S1 – 9.20.17-S1

• 9.21.16 и по-стари

  • включително 9.21.12 – 9.21.16

Налични корекции и препоръки

Доставчикът вече е публикувал корекции, а уязвимостта е отстранена в следните версии:

• 9.18.44 и 9.18.44-S1

• 9.20.18 и 9.20.18-S1

• 9.21.17

Препоръка: всички организации и администратори, използващи засегнати версии на ISC BIND, трябва незабавно да актуализират до фиксираните издания.

Индикатори за компрометиране

Потенциални признаци за експлоатация включват:

• Неочаквани сривове на BIND или DNS услугата

• Assertion грешки в логовете на BIND

• DNS трафик, съдържащ HHIT (тип 67) или BRID (тип 68) записи с RDATA дължина под три октета

Разкритието идва на фона на други анализи на Marlink, които показват, че значителна част от критични индустрии – включително морския сектор – все още разчитат на остарели операционни системи и инфраструктура. Това допълнително подчертава значението на редовното обновяване и мониторинг на основните интернет услуги като DNS.