BIND 9 Vulnerability Allow Attackers to Crash Server by Sending Malicious Records
2026/01/22 CyberSecurityNews — インターネット上の数百万のサービスに対してドメイン名解決を担う、DNS サーバ・ソフトウェア BIND 9 に高深刻度の脆弱性が発見された。この脆弱性 CVE-2025-13878 を悪用するリモート攻撃者は、細工された不正な DNS レコードを送信することで DNS サーバをクラッシュさせ、重要なインターネット・インフラおよび組織のサービスを停止させる可能性がある。
この脆弱性は、不正な BRID (Breadth-first Record ID) および HHIT (Host Hash Information Table) レコードに対する、BIND 9 の named デーモンの不適切な処理に起因する。
| Field | Value |
|---|---|
| CVE Identifier | CVE-2025-13878 |
| Title | Malformed BRID/HHIT records can cause named to terminate unexpectedly |
| Affected Software | BIND 9 (DNS Server) |
| Vulnerability Type | Denial of Service (DoS) |
| Attack Vector | Network (Remote) |
| CVSS v3.1 Score | 7.5 |
| CVSS Vector | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
破損または悪意のある、これらのタイプのレコードを含むリクエストを DNS サーバが受信すると、デーモンが予期せず終了し、サービスが完全に停止する。
このサービス拒否 (DoS) 状態は、オーソリティティブ・ネームサーバおよび DNS リゾルバの両方に影響し、多様なネットワーク・アーキテクチャ全体で攻撃対象領域を拡大させる。
脆弱性 CVE-2025-13878 の CVSS v3.1 深刻度スコアは 7.5 (High) であり、攻撃ベクターはネットワーク経由と評価されている。また、悪用に際して、特別な権限やユーザー操作は不要である。
この脆弱性の悪用は容易であるため、公開されている DNS インフラにとって大きな懸念が生じている。
| BIND Version Branch | Vulnerable Versions | Patched Version |
|---|---|---|
| BIND 9 (Standard) | 9.18.40 – 9.18.43 | 9.18.44 |
| BIND 9 (Standard) | 9.20.13 – 9.20.17 | 9.20.18 |
| BIND 9 (Standard) | 9.21.12 – 9.21.16 | 9.21.17 |
| BIND SPE (Preview) | 9.18.40-S1 – 9.18.43-S1 | 9.18.44-S1 |
| BIND SPE (Preview) | 9.20.13-S1 – 9.20.17-S1 | 9.20.18-S1 |
ISC は 2026年1月14日に 事前の通知を発出し、その後の 2026年1月21日に、この脆弱性に関する情報を公開した。同社のアドバイザリが推奨するのは、最新の修正済みバージョンへのアップグレードである。
現時点では、実環境での悪用事例は確認されていない。したがって、潜在的な攻撃キャンペーンが出現する前に、組織が予防的な是正対応を行うための貴重な猶予期間が存在している。
現時点において、有効な回避策は存在せず、パッチ適用が唯一の緩和手段となる。BIND 9 を運用している組織にとって必要なことは、それぞれのブランチにおいて、最新の修正済みバージョンへ向けた更新を最優先で実施することである。
この脆弱性を責任をもって開示したセキュリティ研究者に対して ISC は謝意を示している。
インターネットの基盤であるドメイン名解決を担う BIND 9 に、サーバを強制停止させられる深刻な脆弱性 CVE-2025-13878 が発見されました。この問題の原因は、特定の形式(BRID レコードや HHIT レコード)をした不正なデータを受け取った際に、BIND 9 の核となる named デーモンが処理に失敗し、予期せず終了してしまう点にあります。
この脆弱性は、権威 DNS サーバとキャッシュ DNS リゾルバの両方に影響を及ぼします。攻撃者がネットワーク経由で細工したパケットを 1 つ送信するだけで、特別な権限やユーザーの操作を必要とせずにサービスを完全に停止させることが可能です。CVSS スコアは 7.5 (High) と高く、インターネット・インフラの安定性を大きく揺るがすリスクとして警戒されています。ご利用のチームはご注意ください。よろしければ、BIND での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.