Una vulnerabilidad de seguridad recientemente detectada ha puesto en riesgo a más de 706,000 resolutores DNS BIND 9 a nivel global, permitiendo posibles ataques de envenenamiento de caché. Esta información fue revelada por el ISC el 22 de octubre de 2025. La falla, catalogada como
CVE-2025-40778
(CVSS 8.6), podría permitir que atacantes remotos inserten registros DNS falsificados en las cachés de los resolutores.
Denominada oficialmente
«Ataques de envenenamiento de caché con RR no solicitados», esta vulnerabilidad afecta a distintas versiones, tanto estables como en desarrollo, de BIND 9, el software DNS de código abierto que sustenta gran parte de la infraestructura global de resolución de nombres en Internet.
La vulnerabilidad CVE-2025-40778 permite la explotación a distancia. Los atacantes pueden insertar registros DNS falsificados en la caché de un resolutor durante el proceso de consulta.
Una vez infectadas, estas cachés pueden responder con resultados fraudulentos a futuras solicitudes DNS, redirigiendo a los usuarios a dominios maliciosos o servidores controlados por el atacante.
De acuerdo con la documentación del ISC, la vulnerabilidad se origina en el comportamiento excesivamente permisivo de BIND al aceptar ciertos registros DNS en las respuestas, lo que permite a actores maliciosos manipular la caché del resolutor.
«En ciertas circunstancias, BIND es demasiado indulgente al aceptar registros de respuestas, permitiendo a un atacante inyectar datos falsificados en la caché», señala el aviso. La vulnerabilidad ya puede ser automatizada.
El aviso del ISC menciona las siguientes versiones de BIND 9 afectadas por CVE-2025-40778:
- BIND 9.11.0 – 9.16.50
- BIND 9.18.0 – 9.18.39
- BIND 9.20.0 – 9.20.13
- BIND 9.21.0 – 9.21.12
Además, la BIND Supported Preview Edition, que es una versión de vista previa para clientes de soporte de ISC, también se ve afectada en las siguientes versiones:
- 9.11.3-S1 – 9.16.50-S1
- 9.18.11-S1 – 9.18.39-S1
- 9.20.9-S1 – 9.20.13-S1
Se cree que los servidores DNS autoritativos no están afectados, pero el ISC advirtió que los resolutores son particularmente vulnerables. También se proporcionó un enlace a una guía que explica por qué algunos servidores autoritativos aún podrían hacer consultas recursivas, lo que podría crear rutas de exposición inesperadas.
Sin soluciones alternativas disponibles
ISC destacó que, en este momento, no existen soluciones alternativas conocidas para esta vulnerabilidad. La única mitigación efectiva es actualizar a una versión corregida de BIND 9.
Se insta a los administradores de sistemas de resolución de DNS que utilizan BIND 9 a evaluar sus implementaciones de inmediato y actualizar a la versión más reciente con corrección. Dado el uso extensivo de BIND en entornos empresariales y de proveedores de servicios de Internet (ISP), el número de servidores potencialmente vulnerables (más de 706,000) representa una parte significativa de la capa de resolución recursiva en Internet.
Dado que el DNS es uno de los elementos más críticos de la infraestructura en línea, la exposición de cientos de miles de resolutores BIND 9 a CVE-2025-40778 subraya los constantes desafíos de mantener la confianza y la seguridad en las capas fundamentales de Internet.
Fuente:
CyberSecurityExpress
Con Información de blog.segu-info.com.ar