CVE-2025-40778 y CVE-2025-40780: Vulnerabilidades de envenenamiento de caché en BIND 9

Análisis

CVE-2025-40778 y CVE-2025-40780 son vulnerabilidades de envenenamiento de caché de alta gravedad en BIND 9, el servidor DNS más implementado en el mundo, utilizado por ISP, empresas y redes gubernamentales. El 22 de octubre de 2025, ISC reveló tres fallas explotables remotamente en BIND 9: CVE-2025-40778, CVE-2025-40780 (ambos CVSS 8.6) y CVE-2025-8677 (CVSS 7.5), todos accesibles a través de la red sin autenticación. CVE-2025-40778 surge del manejo excesivamente permisivo de registros de recursos no solicitados, lo que permite a los resolutores recursivos almacenar en caché datos que violan las reglas de bailía y habilita el envenenamiento de caché que redirige a los usuarios a una infraestructura controlada por el atacante. CVE-2025-40780 debilita la aleatorización del puerto de origen y el ID de consulta, facilitando a los atacantes predecir valores y «ganar» respuestas falsificadas en tránsito. CVE-2025-8677 complementa estos problemas al abusar de registros DNSKEY mal formados para aumentar el uso de la CPU al 100%, creando condiciones de DoS que amplifican las campañas de envenenamiento de caché.

Investigación

La investigación de CVE-2025-40778, CVE-2025-40780 y CVE-2025-8677 debe comenzar con un inventario completo de su infraestructura DNS. Identifique cada resolutor recursivo BIND 9, incluidas instancias internas, de laboratorio y «olvidadas», y asigne cada servidor a su versión y función exactas de BIND (recursivo, autoritativo, reenviador, de validación). Según ISC, las implementaciones afectadas deben actualizarse a 9.18.41, 9.20.15 o 9.21.14 (o Preview 9.18.41-S1 / 9.20.15-S1). Para CVE-2025-40778, busque señales de envenenamiento de caché: registros en caché para nombres nunca consultados, registros adicionales inesperados o cambios repentinos de IP para dominios de alto valor sin actualizaciones planificadas de DNS. Para CVE-2025-40780, busque abuso de entropía: ráfagas de respuestas falsificadas o repetidas de IP no confiables, grandes volúmenes de consultas similares, y advertencias de TLS o navegador en el lado del cliente. Debido a que CVE-2025-8677 puede desencadenar DoS, monitoree búsquedas repetidas de SERVFAIL/tiempos de espera, zonas DNSSEC inusuales y picos de CPU o latencia vinculados a consultas específicas.

Mitigación

Para CVE-2025-40778, CVE-2025-40780 y CVE-2025-8677, ISC enumera no hay soluciones alternativas — parchear BIND 9 es la defensa principal. Los resolutores recursivos deben actualizarse a 9.18.41, 9.20.15 o 9.21.14, o a versiones Preview 9.18.41-S1 / 9.20.15-S1, verificando que los paquetes de la distribución coincidan con la guía de ISC. Al mismo tiempo, fortalezca la configuración del resolutor restringiendo la recurrencia a clientes de confianza y redes internas, evitando resolutores abiertos en Internet y aplicando una verificación estricta de bailía con una aceptación mínima de registros adicionales. Active la validación DNSSEC en resolutores recursivos, supervise las tasas de fallo para detectar señales de manipulación y añada controles a nivel de red para filtrar y limitar el tráfico DNS sospechoso o la actividad de resolutores deshonestos. Finalmente, mejore el monitoreo con alertas en cambios repentinos de IP para dominios críticos, picos en SERVFAIL/tiempos de espera, consultas repetidas o anomalías en el manejo de DNSKEY que puedan indicar la explotación de CVE-2025-8677.

Respuesta

Si sospecha que su infraestructura DNS ha sido objetivo o comprometida, posiblemente a través de CVE-2025-40778, CVE-2025-40780 o CVE-2025-8677, comience por estabilizar y proteger los servicios DNS. Cuando sea posible, falle hacia resolutores secundarios parcheados y restrinja el acceso externo a aquellos vulnerables mientras los mantiene accesibles internamente para análisis. Vacíe las cachés de los resolutores para eliminar entradas envenenadas y verifique registros para zonas internas de alto valor con fuentes autoritativas antes de reutilizarlas. Valide la integridad del DNS verificando resoluciones IP y el estado DNSSEC para dominios críticos (IdPs, correo electrónico, VPN, portales de administración, pagos) contra registradores y registros de cambios. Preserve registros de BIND, registros del sistema y capturas de paquetes para revisión forense, buscando evidencia de redirección a sitios de phishing, portales SSO falsos o servidores de correo no autorizados. Después de aplicar parches, redespliegue con configuraciones fortalecidas, detecciones SIEM actualizadas y brinde información a sus equipos sobre riesgos de envenenamiento de caché DNS y nuevas medidas de seguridad.