Нови уязвимости в BIND 9 поставят под риск стабилността на DNS инфраструктурата

Обзор

Internet Systems Consortium (ISC) публикува информация за няколко уязвимости в BIND 9, една от най-широко използваните реализации на DNS сървър. Проблемите засягат различни части на софтуера, включително рекурсивни резолвери, авторитативни DNS сървъри, DNS-over-HTTPS (DoH), проверка на SIG(0), GSS-API TKEY договаряне и обработка на DNS заявки.

За организациите, които поддържат DNS инфраструктура, основният риск е свързан с наличността на услугите. Част от уязвимостите могат да доведат до изчерпване на ресурси, срив на услугата или нестабилност при специално подготвен трафик. Един от по-сериозните проблеми, CVE-2026-3593, засяга DNS-over-HTTPS имплементацията и може да предизвика повреждане на паметта при изпращане на специално подготвен HTTP/2 трафик към уязвима DoH крайна точка. ISC посочва, че при изложена функционалност са засегнати както резолвери, така и авторитативни сървъри.

Какво се случва

ISC разкри шест уязвимости в BIND 9 през май 2026 г.:

• CVE-2026-3039. Изчерпване на памет при GSS-API TKEY договаряне.
• CVE-2026-3592. Риск от усилване на трафик чрез саморефериращи glue записи.
• CVE-2026-3593. Use-after-free проблем в DNS-over-HTTPS имплементацията на BIND 9.
• CVE-2026-5946. Неправилна обработка на DNS заявки от клас, различен от IN.
• CVE-2026-5947. Проблем при проверка на SIG(0) при високо натоварване от заявки.
• CVE-2026-5950. Неограничен цикъл на повторно изпращане в логиката на BIND 9 резолвера.

CVE-2026-5950 е особено важна за рекурсивните резолвери, тъй като може да позволи на отдалечен нападател без автентикация да предизвика сериозно изчерпване на ресурси чрез специално подготвени заявки. NVD посочва засегнати версии в клоновете 9.18, 9.20, 9.21 и поддържаните preview издания.

Защо това има значение

DNS е една от основните услуги, които правят бизнес системите достъпни. Когато DNS спре да работи, приложения, имейл, портали, процеси за автентикация и облачни услуги могат да станат недостъпни, дори самите системи зад тях да работят нормално.

Тези уязвимости са важни, защото засягат инфраструктура, която често остава на заден план, но е критична за ежедневните операции. В много организации DNS не се наблюдава със същата детайлност като крайните устройства, защитните стени или приложните сървъри.

Рискът е по-висок в среди, които:

• използват стари или неподдържани версии на BIND
• имат активиран DNS-over-HTTPS без достатъчно наблюдение
• поддържат рекурсивни резолвери за големи групи потребители
• работят с различни BIND клонове в отделни среди
• нямат ясно определена отговорност за обновяване и настройка на DNS

ISC препоръчва да не се използват версии на BIND с прекратена поддръжка, тъй като те вече не се тестват срещу новооткрити уязвимости и трябва да се считат за неподходящи за производствена среда.

Потенциален ефект

Ефектът зависи от конкретната конфигурация и изложените услуги, но може да включва:

• прекъсване на DNS услугата
• изчерпване на ресурси при рекурсивни резолвери
• срив на услугата при специално подготвен трафик
• нестабилност при голям обем заявки
• повишен риск от отказ на услуга
• злоупотреба с усилване на трафик при определени конфигурации

За организации с клиентски портали и публични услуги нестабилността на DNS може бързо да се превърне в реален проблем за достъпността.

Препоръчителни действия

Организациите, които използват BIND 9, трябва да прегледат експозицията си и да преминат към поддържани коригирани версии възможно най-бързо. Публичните препоръки посочват, че корекции са налични във версии като 9.18.49, 9.20.23, 9.21.22 и съответните поддържани preview издания, според конкретната уязвимост и използвания клон.

Приоритетни действия:

• установяване на всички BIND 9 инстанции в средата
• потвърждение дали системите работят като рекурсивни резолвери, авторитативни сървъри или и двете
• обновяване до поддържани коригирани версии
• деактивиране или ограничаване на DNS-over-HTTPS там, където не е необходим
• преглед на използването на GSS-API TKEY и SIG(0)
• въвеждане на ограничаване на заявките, където е приложимо
• наблюдение за пикове в ресурсите, голям обем DNS заявки и нестабилност на резолверите

DIAMATIX перспектива

Този случай потвърждава нещо практично: DNS не е просто мрежова услуга. Той е част от оперативната устойчивост.

Екипите по сигурност често се фокусират върху по-видимите повърхности за атака, докато DNS инфраструктурата остава недостатъчно наблюдавана до момента, в който възникне проблем. Уязвимости, които засягат резолвери и авторитативни сървъри, могат да нарушат достъпа до критични бизнес услуги, без да е компрометирано самото приложение.

За DIAMATIX основният извод е видимостта. Поведението на DNS трябва да се наблюдава като част от по-широката картина на сигурността и наличността, особено в среди, в които външни услуги, облачни платформи и клиентски системи зависят от надеждно разрешаване на имена.

CISO анализ

От гледна точка на CISO тези уязвимости трябва да се разглеждат като инфраструктурен риск, а не само като поредни обновления.

Важните въпроси са:

• Кои екипи отговарят за DNS инфраструктурата в организацията?
• Ясно ли са разделени ролите на рекурсивните и авторитативните DNS сървъри?
• Има ли стари BIND версии в производствена среда?
• Активиран ли е DNS-over-HTTPS и наблюдава ли се този трафик?
• Може ли организацията да открие изчерпване на ресурси при резолверите преди потребителите да усетят прекъсване?

DNS проблемите често изглеждат като проблеми в приложенията. Затова ранното откриване и ясната отговорност са критични.

Какво означава това за вашата среда

• Този тип риск засяга изложена или остаряла DNS инфраструктура, при която специално подготвен трафик може да повлияе на наличността.
• Откриването зависи от видимост върху поведението на резолверите, обема на заявките, използваните ресурси и нестабилността на услугата.
• Реакцията изисква бързо обновяване, по-сигурна конфигурация и ясно оперативно управление на DNS услугите.

Знаете ли кои BIND версии са активни във вашата среда?

Можете ли да откриете DNS нестабилност преди тя да засегне потребители и бизнес услуги?

Виж как DNS рисковете се наблюдават и управляват в реална оперативна среда.

Свържете се с DIAMATIX
Trusted · Innovative · Vigilant

Източници

• Internet Systems Consortium (ISC). BIND 9 vulnerability advisories.
• NVD. CVE-2026-3593 and CVE-2026-5950 records.
• Debian Security Advisory DSA-6285-1.
• Canadian Centre for Cyber Security. ISC BIND security advisory.

Статията е базирана на публично достъпна техническа и threat intelligence информация към май 2026 г.