Dos vulnerabilidades críticas en el software BIND 9 DNS Resolver están afectando a las organizaciones en todo el mundo, con un potencial envenenamiento de caché y ataques de denegación de servicio.
Las vulnerabilidades, identificado Como CVE-2025-40776 y CVE-2025-40777, plantea riesgos de seguridad significativos para la infraestructura DNS, particularmente para los resolutores configurados con características avanzadas específicas.
Control de llave
1. CVE-2025-40776 (intoxicación por caché) y CVE-2025-40777 (denegación de servicio) que afecta a Bind 9 Resolvers.
2. Las configuraciones de enlace específicas del objetivo se pueden explotar de forma remota sin autenticación.
3. Actualice a versiones parcheadas o deshabilite las características vulnerables.
Bind 9 defecto de envenenamiento de caché (CVE-2025-40776)
La primera vulnerabilidad, CVE-2025-40776, los objetivos vinculan 9 resonedores configurados con opciones de subred de clientes del cliente EDNS (ECS), con una calificación de alta gravedad de 8.6 en la escala CVSS.
Esta vulnerabilidad de ataque de cumpleaños afecta solo a las versiones de la edición de suscripción BIND (-S), incluidas 9.11.3-s1 a 9.16.50-s1, 9.18.11-s1 a 9.18.37-s1 y 9.20.9-s1 a 9.20.10-s1.
El ataque explotan los resolutores que envían opciones de ECS a servidores autorizados, lo que los convierte en consultas que aumentan la probabilidad de adivinar exitosamente la adivinación de puertos de origen.
Xiang Li del laboratorio de AOSP de la Universidad de Nankai descubrió esta vulnerabilidad, lo que evita las mitigaciones del ataque de envenenamiento de la caché original de cumpleaños.
El CVSS Vector CVSS: 3.1/AV: N/AC: L/PR: N/UI: N/S: C/C: N/I: H/A: N indica una explotación accesible para la red con un alto impacto de integridad.
Bind 9 DOS Vulnerabilidad (CVE-2025-40777)
CVE-2025-40777 presenta un vector de amenaza diferente, lo que permite ataques de denegación de servicio a través de fallas de afirmación con un puntaje CVSS de 7.5.
Esta vulnerabilidad afecta las versiones de Bind 9.20.0 a 9.20.10 y 9.21.0 a 9.21.9, más las versiones de edición previa compatibles correspondientes.
La vulnerabilidad se desencadena cuando los solucionadores se configuran con Serv-Stale-Enable YA y Tiempo de tiempo de respuesta obsoleta establecido en 0.
Los atacantes pueden explotar combinaciones específicas de la cadena CNAME que involucran registros almacenados en caché o autorizados para forzar la terminación del demonio llamado.
La vulnerabilidad se descubrió durante las pruebas internas, sin hazañas activas actualmente identificadas. El CVSS Vector CVSS: 3.1/AV: N/AC: L/PR: N/UI: N/S: U/C: N/I: N/A: H refleja un alto impacto de disponibilidad a través de la explotación remota.
CVETITLEAFECTED PRODUCTSCVSS 3.1 ScoreSeverityCVE-2025-40776Birthday Attack contra los solucionadores que admiten Ecsbind 9 compatible con la edición de vista previa:-9.11.3-s1 → 9.16.50-s1- 9.18.11-s1 → 9.18.37-s1-19. 9.20.10-s18.6highcve-2025-40777a Falla de afirmación posible cuando se usa el ‘stale-shale-swer-client-timeout 0’ optionbind 9:-9.20.0 → 9.20.10- 9.21.0 → 9.21.9.9.9.9.9
Edición de vista previa compatible con Bind:-9.20.9-S1 → 9.20.10-S17.5high
Mitigaciones
ISC recomendado parches inmediatos para resolver ambas vulnerabilidades.
Para CVE-2025-40776, las organizaciones deben actualizarse para vincular 9.18.38-S1 o 9.20.11-S1, o deshabilitar ECS eliminando la opción ECS-Zones de Named.conf. CVE-2025-40777 requiere la actualización para unir 9.20.11 o 9.21.10, con soluciones temporales que incluyen la configuración de tiempo de tiempo de respuesta rancia-respuesta o no en los archivos de configuración.
Estas vulnerabilidades destacan la importancia crítica de mantener la infraestructura DNS actualizada, ya que tanto el envenenamiento por caché como los ataques de denegación de servicio pueden comprometer severamente la postura de seguridad organizacional y la disponibilidad de servicios.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
