Una falla de seguridad recientemente descubierta ha puesto a más de 706.000 resolutores DNS BIND 9 en todo el mundo en riesgo de sufrir ataques de envenenamiento de caché, según un aviso publicado por el ISC el 22 de octubre de 2025. La vulnerabilidad, identificada como CVE-2025-40778 (CVSS 8,6) y podría permitir a atacantes remotos inyectar registros DNS falsificados en las cachés de los resolutores.
El problema, oficialmente denominado "Ataques de envenenamiento de caché con RR no solicitados", afecta a múltiples versiones, tanto compatibles como preliminares, de BIND 9, el software DNS de código abierto ampliamente utilizado que impulsa gran parte de la infraestructura global de resolución de nombres de Internet.
La falla CVE-2025-40778 permite la explotación remota. Los atacantes podrían insertar registros DNS falsificados en la caché de un solucionador durante un proceso de consulta. Una vez contaminados, estos cachés podrían responder con resultados fraudulentos a futuras solicitudes DNS, lo que podría redirigir a los usuarios a dominios maliciosos o servidores controlados por el atacante.
Según la documentación del ISC, la falla se debe al comportamiento excesivamente permisivo de BIND al aceptar ciertos registros DNS en las respuestas, lo que permite a actores maliciosos manipular la caché del resolutor. "En determinadas circunstancias, BIND es demasiado indulgente al aceptar registros de respuestas, lo que permite a un atacante inyectar datos falsificados en la caché", explica el aviso. La falla ya se puede automatizar.
El aviso de ISC enumera las siguientes versiones de BIND 9 afectadas por CVE-2025-40778:
- BIND 9.11.0 - 9.16.50
- BIND 9.18.0 - 9.18.39
- BIND 9.20.0 - 9.20.13
- BIND 9.21.0 - 9.21.12
Además, la BIND Supported Preview Edition, una rama de vista previa de funciones para clientes de soporte de ISC, también se ve afectada en las siguientes versiones:
- 9.11.3-S1 - 9.16.50-S1
- 9.18.11-S1 - 9.18.39-S1
- 9.20.9-S1 - 9.20.13-S1
Aunque se cree que los servidores DNS autoritativos no se ven afectados, el ISC advirtió que los solucionadores están particularmente expuestos. La organización también incluyó un enlace a una guía que explica por qué algunos servidores autoritativos aún podrían realizar consultas recursivas, lo que podría crear rutas de exposición inesperadas.
Sin soluciones alternativas
ISC enfatizó que actualmente no existen soluciones alternativas conocidas para esta vulnerabilidad. La única mitigación efectiva es actualizar a una versión parcheada de BIND 9.
ISC insta a los administradores de sistemas de resolución de DNS que ejecutan BIND 9 a evaluar de inmediato sus implementaciones y actualizar a la versión corregida más cercana. Dado el uso generalizado de BIND tanto en entornos empresariales como de proveedores de servicios de internet (ISP), la cantidad de servidores potencialmente expuestos (más de 706.000) representa una gran parte de la capa de resolución recursiva de Internet.
Como el DNS sigue siendo uno de los componentes más críticos de la infraestructura en línea, la exposición de cientos de miles de resolutores BIND 9 a CVE-2025-40778 resalta los desafíos constantes de mantener la confianza y la seguridad en las capas fundamentales de Internet.
Fuente: CyberSecurityExpress