Freym PC Blog

Vulnerabilidad en BIND 9 (DNS)

Admin
October 29, 2025
Vulnerabilidad en BIND 9 (DNS)
Translate to:

Las vulnerabilidades CVE-2025-40778 y CVE-2025-40780 afectan a BIND 9, el servidor DNS más utilizado globalmente, y suponen un riesgo crítico por facilitar el envenenamiento remoto de caché DNS, permitiendo redirección de usuarios a sitios maliciosos, robo de credenciales y pérdida de integridad de las comunicaciones.

Resumen técnico y contexto

  • Fecha de divulgación: 22 de octubre de 2025
  • Severidad: Alta (CVSS 8.6)
  • Vector: Ataque remoto sin autenticación, “off-path” posible
  • Impacto: Redirección de tráfico, robo/intercepción de datos, potencial para extorsión, APT y DoS
  • Versiones vulnerables: BIND 9.11.x a 9.18.40 y 9.20.x a 9.20.14; arregladas en 9.18.41, 9.20.15 y 9.21.14

CVE-2025-40778: Envenenamiento de caché DNS por aceptación de registros no solicitados

  • El error reside en la forma en que los resolvers recursivos de BIND aceptan y almacenan registros “extra” en respuestas de servidores autoritativos.
  • Bajo ciertas condiciones, BIND incorpora al caché registros (RRs) no solicitados, violando las reglas de bailiwick (origen/autorización de datos DNS).
  • Un atacante, controlando o influyendo respuestas DNS, puede inyectar y hacer persistir registros falsos (“cache poisoning”).
  • Estas entradas fraudulentas redirigen a usuarios/servicios a infraestructura maliciosa o permiten interceptación de comunicaciones cifradas.

CVE-2025-40780: Predicción del generador pseudoaleatorio de puertos/ID de consulta

  • Se ha detectado que el PRNG (Pseudo Random Number Generator) de BIND 9 es predecible bajo ciertas condiciones.
  • Esto permite anticipar puertos fuente y ID de consulta en las peticiones DNS salientes; el atacante genera respuestas falsas que el resolver acepta y almacena, facilitando el envenenamiento.
  • El nivel de entropía insuficiente revive riesgos similares al ataque de Kaminsky (2008), pero aprovechando nuevas debilidades en el algoritmo de BIND actual.
  • El problema compromete la principal defensa contra spoofing DNS en internet.

Ejemplo y alcance

  • Cache poisoning puede realizarse off-path (sin acceso directo a la red), elevando la criticidad en redes empresariales, ISP, infraestructuras públicas y cloud.
  • Más de 700,000 instancias de BIND 9 potencialmente vulnerables según escaneos recientes.
  • PoCs públicos en GitHub y foros de administradores; riesgo de explotación por campañas automatizadas, ransomware y ciberespionaje.

Mitigación recomendada

  1. Actualizar BIND 9 a las versiones corregidas: 9.18.41, 9.20.15 o 9.21.14.
  2. Limitar la recursión a rangos de IP seguras mediante ACLs; evitar exposición sin filtrar al exterior.
  3. Activar y exigir DNSSEC para validación criptográfica de respuestas, reduciendo impacto de envenenamiento.
  4. Monitorizar el contenido de caché, buscar registros extraños o persistencia inusual.
  5. **Revisar logs y correlacionar eventos de DNS con alertas de tráfico anómalo/enrutamiento sospechoso.

Conclusión

Las vulnerabilidades CVE-2025-40778 y CVE-2025-40780 representan una amenaza serie para la infraestructura de internet y servicios empresariales que dependen de BIND 9 como DNS recursivo. Los ataques potenciales incluyen redirección, robo de credenciales, secuestro de sesiones y espionaje masivo. Es crucial parchear urgentemente y fortalecer configuraciones de validación para reducir la superficie de ataque.

Comments (0)

No comments yet. Be the first to comment!