Hack Alerta

Vulnerabilidade no BIND 9 permite queda de servidores DNS

Por Redação Hack Alerta Publicado em 22/01/2026 08:01 Riscos e Ameaças Tempo de leitura: 3 min

Foi divulgada uma vulnerabilidade de alta severidade no BIND 9 (CVE-2025-13878) que permite a queda do processo "named" ao processar registros BRID/HHIT malformados. As versões 9.18.40–9.18.43, 9.20.13–9.20.17 e 9.21.12–9.21.16 foram listadas como vulneráveis; o ISC recomenda atualizar para as releases corrigidas imediatamente. Não há exploits públicos documentados até a divulgação.

Uma falha de alta severidade no BIND 9 — o daemon de nomes usado em servidores DNS — pode ser acionada remotamente com registros DNS malformados, levando o processo "named" a terminar inesperadamente e causando indisponibilidade.

Descoberta e versões afetadas

O problema, rastreado como CVE-2025-13878 e divulgado pelo ISC em 21 de janeiro de 2026, afeta múltiplos ramos do BIND 9. As versões listadas como vulneráveis são 9.18.40–9.18.43, 9.20.13–9.20.17 e 9.21.12–9.21.16, além de variantes SPE correspondentes. O ISC recomenda atualização para as versões corrigidas (por exemplo, 9.18.44, 9.20.18 e 9.21.17).

Vetor e impacto técnico

Segundo os relatórios públicos reproduzidos pela matéria original, a falha decorre do tratamento incorreto de registros BRID (Breadth‑first Record ID) e HHIT (Host Hash Information Table) pelo daemon. Um pacote de rede contendo registros especialmente malformados provoca a terminação do processo, gerando condição de negação de serviço (DoS).

Gravidade e janela de mitigação

A falha tem pontuação CVSS v3.1 de 7.5 (High), com vetor de ataque por rede sem necessidade de privilégios ou interação do usuário (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H). O relatório aponta que, até a publicação do advisory, não havia documentação de exploração ativa em campo — o que deixa uma janela para remediação pró‑ativa.

Recomendações operacionais

  • Priorizar inventário de servidores DNS públicos e resolvers expostos para identificar instâncias do BIND 9 nos ramos afetados.
  • Aplicar as versões corrigidas indicadas pelo ISC nas respectivas branches (9.18.44, 9.20.18, 9.21.17 etc.).
  • Não há workarounds documentados no advisory; patching é apresentado como a mitigação viável.
  • Para infraestruturas críticas, considerar medidas adicionais de proteção de perímetro (rate limiting de queries, WAF/DNS proxies gerenciados) até a atualização completa.

Limitações dos dados disponíveis

O advisory e a cobertura indicam ausência de exploits públicos confirmados até a divulgação. Não há informações públicas sobre vetores de exploração além do envio de registros malformados, nem sobre incidentes reais que liguem a falha a interrupções em provedores ou serviços específicos. Organizações devem manter monitoramento de logs e alertas de disponibilidade enquanto aplicam correções.

Implicações para operadores

Como tanto servidores autoritativos quanto resolvers podem ser afetados, a falha amplia o alcance do potencial impacto: interrupções podem degradar resolução de nomes para serviços internos e externos. Operadores de DNS em empresas e provedores de DNS autorizados devem tratar a atualização como prioridade.

Fonte: ISC, reportada via Cyber Security News. Dados técnicos e versões seguem o advisory público citado na reportagem original.

Baseado em publicação original de Cyber Security News
Tags: #bind9 #dns #dos #cve-2025-13878 #isc #patch #infraestrutura #segurança #vulnerabilidade
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar