BIND 9 dagi xavfli zaifliklar DNS tizimlarini xavf ostiga qo‘ymoqda

Internet infratuzilmasining yuragi sanalgan DNS tizimlari yana jiddiy sinov ostida. Internet Systems Consortium (ISC) 2025-yil 22-oktabr kuni BIND 9 dasturida aniqlangan uchta yuqori darajadagi zaiflikni e’lon qildi. Ushbu zaifliklar orqali tajovuzkorlar masofadan turib DNS keshiga noto‘g‘ri ma’lumot joylashtirish (cache poisoning) yoki xizmatdan voz kechish (DoS) holatini yuzaga keltirishlari mumkin.

Zaifliklar CVE-2025-8677, CVE-2025-40778 va CVE-2025-40780 sifatida ro‘yxatdan o‘tgan bo‘lib, ular asosan domen nomlarini tahlil qilish uchun ishlatiladigan recursive resolver serverlariga ta’sir qiladi. Shu sababli, avtoritativ DNS serverlar hozircha xavfsiz hisoblanadi.

Zaifliklarning texnik mohiyati

CVE-2025-8677 — DNSKEY yozuvlari orqali resurslarni to‘ldirish (DoS)

Bu zaiflik noto‘g‘ri shakllangan DNSKEY yozuvlari orqali ishlatiladi. Tajovuzkorlar maxsus so‘rovlar yuborib, DNS resolverning CPU resurslarini to‘liq band qiladi. Natijada, tizim ortiqcha yuklanadi va foydalanuvchilarning qonuniy so‘rovlari bajarilmay qoladi.
CVSS balli: 7.5 (Yuqori).

CVE-2025-40778 — Soxta ma’lumotlar orqali keshi zaharlanishi

Ushbu xato BIND’ning javoblardagi kutilmagan (unsolicited) resurs yozuvlarini noto‘g‘ri qayta ishlashi bilan bog‘liq. Tajovuzkorlar soxta DNS javoblari yuborib, keshni zaharlashi mumkin — bu esa foydalanuvchilarni haqiqiy emas, tajovuzkor nazoratidagi IP manzillarga yo‘naltiradi.
CVSS balli: 8.6 (Kritik).

CVE-2025-40780 — Soxta javoblar uchun PRNG zaifligi

Bu zaiflik so‘rov identifikatorlari va port raqamlarini yetarlicha tasodifiy shaklda yaratmaslik natijasida paydo bo‘ladi. Tajovuzkorlar bu kamchilikdan foydalanib, DNS javoblarini soxtalashtirib keshi zaharlashi mumkin.
CVSS balli: 8.6 (Kritik).

Potensial xavflar

Mazkur zaifliklardan muvaffaqiyatli foydalanish:

  • foydalanuvchilarni soxta veb-saytlarga yo‘naltirish,
  • phishing va zararli dasturlarni tarqatish,
  • korxona DNS xizmatini ishdan chiqarish,
  • hamda moliya yo‘qotishlari yoki ish faoliyatining to‘xtashi kabi oqibatlarga olib kelishi mumkin.

Bunday xurujlar tarixda birinchi marta emas — 2008-yilda Dan Kaminsky tomonidan fosh etilgan DNS kesh zaharlanishi hujumi ham global Internet barqarorligiga tahdid solgan edi. BIND’ning hozirgi zaifliklari esa o‘sha davrdagi muammolarning yangi ko‘rinishi sifatida baholanmoqda.

Ushbu zaifliklarni Nankay universiteti, Tsingxua universiteti (Xitoy) hamda Ibroniy universiteti (Isroil) olimlari aniqlagan. ISC ularning tadqiqotlarini e’tirof etgan holda tegishli xavfsizlik yangilanishlarini (patch) e’lon qildi.

Ayni paytda hech qanday faol ekspluatatsiya holati aniqlanmagan, biroq zaifliklarning masofadan autentifikatsiyasiz ishlatilishi xavf darajasini yanada oshiradi.

Zaif BIND versiyalari 9.11.0 dan 9.21.12 gacha bo‘lgan barcha relizlarni, shuningdek Supported Preview Edition tarmoqlarini qamrab oladi.

Yechim va tavsiyalar

Hech qanday “muqobil yechim” mavjud emas. Shu sababli ISC quyidagi yangilanishlarni darhol o‘rnatishni tavsiya qiladi:

  • BIND 9.18.41,
  • BIND 9.20.15,
  • BIND 9.21.14 (yoki ularning yangilangan qo‘llab-quvvatlanadigan versiyalari).

Shuningdek, Ubuntu, Red Hat va boshqa distributsiyalar ham xavfsizlik yangilanishlarini tarqatishni boshlagan. Administratorlar ISC rasmiy tavsiyanomalarini diqqat bilan kuzatib borishlari va o‘z DNS tizimlarining keshlash logikasi va so‘rov xavfsizligini muntazam nazorat qilishlari kerak.

BIND 9’dagi yangi zaifliklar shuni ko‘rsatmoqdaki, DNS xavfsizligi hali ham Internetning eng zaif nuqtalaridan biri bo‘lib qolmoqda. Hujumlar tobora murakkablashib borar ekan, tarmoq infratuzilmasini himoya qilishning yagona yo‘li — tezkor patchlash, monitoring va proaktiv xavfsizlik boshqaruvini yo‘lga qo‘yishdir.