Los desarrolladores del software DNS BIND, ampliamente utilizado, han advertido sobre dos vulnerabilidades de alta severidad que podrían permitir ataques de envenenamiento de caché, similares a las reveladas en 2008. Unbound, otro resolvedor DNS, enfrenta un defecto relacionado reportado por los mismos investigadores. Los parches para todos los problemas estuvieron disponibles el 22 de octubre de 2025.
El software de resolución de nombres de dominio más popular de Internet, BIND, es vulnerable a dos fallos rastreados como CVE-2025-40778 y CVE-2025-40780, cada uno con una calificación de severidad de 8.6. Estos provienen de un error lógico y una debilidad en la generación de números pseudoaleatorios, respectivamente, permitiendo que los atacantes envenenen las cachés DNS y redirijan a los usuarios a sitios maliciosos indistinguibles de los legítimos.
Por separado, los creadores de Unbound divulgaron una vulnerabilidad similar con una puntuación de severidad de 5.6, también identificada por los mismos investigadores. Todos los parches se lanzaron el miércoles 22 de octubre de 2025.
Estos problemas reviven preocupaciones de la descubrimiento de Dan Kaminsky en 2008 sobre el envenenamiento de caché DNS, que explotaba la naturaleza unidireccional y falsificable de los paquetes UDP. Los atacantes podrían inundar los resolvedores con respuestas falsificadas usando IDs de transacción variados —limitados a 65.536 posibilidades— para inyectar direcciones IP maliciosas, como reemplazar la 3.15.119.63 de arstechnica.com con una bajo control del atacante.
La industria respondió aumentando la entropía mediante puertos de origen aleatorios más allá del 53, combinados con IDs de transacción, elevando las posibilidades a miles de millones y frustrando los ataques. Sin embargo, CVE-2025-40780 debilita esto: “En circunstancias específicas, debido a una debilidad en el Generador de Números Pseudoaleatorios (PRNG) utilizado, es posible que un atacante prediga el puerto de origen y el ID de consulta que BIND usará”, declararon los desarrolladores de BIND. Esto podría engañar a BIND para que almacene en caché respuestas del atacante si la falsificación tiene éxito.
CVE-2025-40778 permite la inyección de datos falsificados: “En ciertas circunstancias, BIND es demasiado permisivo al aceptar registros de las respuestas, permitiendo que un atacante inyecte datos falsificados en la caché”, explicaron los desarrolladores. La explotación requiere falsificación de red y sincronización precisa, afectando solo la integridad de la caché, no el compromiso del servidor.
Red Hat señaló: “Dado que la explotación no es trivial, requiere falsificación a nivel de red y sincronización precisa, y solo afecta la integridad de la caché sin compromiso del servidor, la vulnerabilidad se considera Importante en lugar de Crítica”. Las contramedidas como DNSSEC, limitación de tasa y firewalls siguen siendo efectivas, limitando el impacto en comparación con 2008. Los servidores autoritativos no se ven afectados. Las organizaciones deben aplicar los parches de inmediato.