CVE-2025-40778 y CVE-2025-40780: Vulnerabilidades de Envenenamiento de Caché en BIND 9 Exponen a los Servidores DNS al Riesgo de Ataques

Tan solo unos días después de la divulgación de CVE-2025-59230 y CVE-2025-24990 vulnerabilidades de día cero en Windows, ha surgido un nuevo conjunto de fallas críticas, esta vez dirigidas a la columna vertebral del sistema de nombres de dominio de Internet. El Internet Systems Consortium (ISC), mantenedores de BIND 9, el software DNS más utilizado del mundo, ha revelado tres vulnerabilidades de alta gravedad que podrían poner a los usuarios y organizaciones en riesgo.
Dos de estas fallas, CVE-2025-40778 y CVE-2025-40780, permiten a los atacantes envenenar cachés de DNS, potencialmente redirigiendo a los usuarios a sitios maliciosos que parecen legítimos. Estos problemas surgen de un error de lógica y debilidades en la generación de números pseudoaleatorios, socavando la confiabilidad de las respuestas de DNS.
La tercera vulnerabilidad, CVE-2025-8677, podría ser explotada para desencadenar condiciones de denegación de servicio (DoS) en resolutores DNS afectados, interrumpiendo servicios críticos de resolución de dominios.
Más de 35,000 vulnerabilidades se han reportado globalmente hasta ahora en 2025, y el total al final del año podría superar las 50,000. Alarmantemente, más de un tercio de estas vulnerabilidades están calificadas como de Alta Gravedad o Críticas, destacando un mayor riesgo de explotación y subrayando la necesidad urgente de medidas robustas de ciberseguridad.
Regístrese en la Plataforma SOC Prime para acceder al feed de amenazas activas global, que ofrece inteligencia de amenazas cibernéticas en tiempo real y algoritmos de detección curados para abordar amenazas emergentes. Todas las reglas son compatibles con múltiples formatos de SIEM, EDR, y Data Lake y se mapean al MITRE ATT&CK® marco. Además, cada regla está enriquecida con CTI enlaces, líneas de tiempo de ataques, configuraciones de auditoría, recomendaciones de triaje y más contexto relevante. Presione el botón Explorar Detecciones para ver todo el conjunto de detección para una defensa proactiva contra vulnerabilidades críticas filtradas por la etiqueta “CVE”.
Los ingenieros de seguridad también pueden aprovechar Uncoder AI, un IDE y copiloto para la ingeniería de detección. Con Uncoder, los defensores pueden convertir instantáneamente IOCs en consultas de búsqueda personalizadas, crear código de detección a partir de informes de amenazas en bruto, generar diagramas de flujo de ataque, habilitar la predicción de etiquetas ATT&CK, aprovechar la optimización de consultas impulsada por IA y traducir contenido de detección entre múltiples plataformas.
Análisis de CVE-2025-40778 y CVE-2025-40780
BIND (Berkeley Internet Name Domain), gestionado por el consorcio sin ánimo de lucro Internet Systems Consortium (ISC), es el software de servidor DNS más utilizado en el mundo, y alimenta infraestructuras críticas para ISP, empresas y gobiernos. Debido a su amplia implementación, las vulnerabilidades en BIND pueden tener efectos de gran alcance en Internet global.
El 22 de octubre de 2025, se divulgaron públicamente tres vulnerabilidades críticas por el ISC, que potencialmente afectan a millones de usuarios en todo el mundo. Las fallas exponen la infraestructura de DNS a múltiples vectores de ataque que podrían comprometer la integridad y disponibilidad de la resolución. Dos de las vulnerabilidades, CVE-2025-40778 y CVE-2025-40780, tienen una puntuación CVSS de 8.6, mientras que CVE-2025-8677 tiene una puntuación de 7.5, aún clasificada como de alto riesgo. Las tres pueden explotarse de forma remota a través de la red sin autenticación, permitiendo a los atacantes envenenar cachés de DNS, redirigir a usuarios a sitios web maliciosos, interceptar comunicaciones o lanzar ataques de denegación de servicio.
CVE-2025-40778 surge de la gestión excesivamente permisiva de los registros de recursos no solicitados en las respuestas DNS de BIND 9. Los resolutores recursivos pueden almacenar en caché registros que no fueron solicitados explícitamente, violando los principios de jurisdicción. Un atacante que pueda influir en las respuestas o interceptar el tráfico puede inyectar registros falsificados en el caché. Una vez envenenado, el resolutor devuelve datos controlados por el atacante para consultas posteriores, potencialmente redirigiendo a los usuarios a sitios maliciosos, interceptando información sensible o interrumpiendo servicios.
CVE-2025-40780 explota una debilidad en el Generador de Números Pseudoaleatorios (PRNG) de BIND, permitiendo a los atacantes predecir puertos de origen e IDs de consulta. Al anticipar estos valores, un atacante puede inyectar respuestas maliciosas en los cachés del resolutor más fácilmente, facilitando el envenenamiento de cachés y permitiendo la redirección del tráfico del usuario a la infraestructura controlada por el atacante.
Los agujeros de seguridad descritos arriba reflejan un evento histórico de 2008, cuando el investigador Dan Kaminsky expuso una grave falla de envenenamiento de caché DNS que permitía a los atacantes inundar resolutores con respuestas falsas y redirigir en masa a los usuarios a sitios maliciosos. La vulnerabilidad original explotaba los limitados 16 bits de IDs de transacción de DNS y el comportamiento predecible de UDP, que luego fue corregida aumentando drásticamente la entropía a través de puertos y números de transacción aleatorizados. Al igual que el descubrimiento de Kaminsky, las vulnerabilidades de BIND de 2025 resaltan el riesgo persistente de envenenamiento de caché y subrayan la necesidad continua de asegurar la infraestructura DNS contra ataques similares.
CVE-2025-8677 implica registros DNSKEY malformados en zonas especialmente diseñadas que pueden abrumar los recursos de CPU del resolutor. La explotación puede degradar severamente el rendimiento o causar condiciones de denegación de servicio para usuarios legítimos. Mientras que los servidores autoritativos no se ven mayormente afectados, los resolutores recursivos siguen estando en riesgo.
Para mitigar completamente las tres vulnerabilidades, las organizaciones deben actualizar a las versiones corregidas de BIND 9: 9.18.41, 9.20.15, o 9.21.14, mientras que los usuarios de la Edición Previa deben usar 9.18.41-S1 o 9.20.15-S1. Actualmente, no se conocen exploits activos, y no existen soluciones alternativas, por lo que la aplicación oportuna de parches es la única defensa efectiva.
Dada la creciente amenaza de explotación de vulnerabilidades en software ampliamente utilizado, las organizaciones están buscando métodos efectivos para fortalecer su postura de seguridad proactiva y mantenerse un paso adelante de los adversarios. SOC Prime cura un conjunto de productos completo para una seguridad lista para empresas respaldada por IA, automatización e inteligencia de amenazas en tiempo real, ayudando a organizaciones globales a superar las amenazas cibernéticas que más anticipan.