• Recursos
  • Centro de conocimientos
  • Vulnerabilidad de ISC BIND descubierta y revelada por Marlink Cyber
    • Resumen de noticias
    Artículo de blog

    Vulnerabilidad de ISC BIND descubierta y revelada por Marlink Cyber

    Investigación responsable y colaboración en apoyo de las infraestructuras críticas

    Se ha identificado una vulnerabilidad en ISC BIND, un servicio del Sistema de Nombres de Dominio (DNS) muy utilizado que proporciona resolución de nombres tanto para entornos de Internet como para redes locales.

     

    Resumen de la vulnerabilidad

    Software: ISC BIND

    URL del software: https://www.isc.org/bind/

    ID de la vulnerabilidad: MCSAID-2025-015

    ID de CVE: CVE-2025-13878

    CVSS: 7,5 (ALTA)

    Tipo de vulnerabilidad: Denegación de servicio (DoS), Bloqueo del servicio

    Estado actual: Parche publicado por el proveedor.

    Explotación: Fácil, no se ha observado en la red

    Versiones afectadas:

    • 9.18.43 y anteriores (9.18.40 - 9.18.43, 9.18.40-S1 - 9.18.43-S1)
    • 9.20.17 y anteriores (9.20.13 - 9.20.17, 9.20.13-S1 - 9.20.17-S1)
    • 9.21.16 y anteriores (9.21.12 - 9.21.16)

    Corregido en:

    • 9.18.44 (también corregido en 9.18.44-S1)
    • 9.20.18 (también corregido en 9.20.18-S1)
    • 9.21.17

     

    Impacto

    La vulnerabilidad identificada permite a un atacante remoto provocar una condición de denegación de servicio (DoS) al bloquear el servicio BIND. Esta interrupción puede tener un impacto operativo significativo, ya que la resolución de DNS es una dependencia crítica para la mayoría de los servicios de Internet y empresariales.

     

    Explotación

    La explotación es sencilla, ya que el atacante solo tiene que hacer que el servidor procese un mensaje DNS manipulado.

    Los análisis actuales indican que la ejecución de código arbitrario no es factible. El impacto de la vulnerabilidad se limita a la interrupción del servicio resultante del bloqueo.

     

    Estado

    Estado actual de la vulnerabilidad:

    • La vulnerabilidad se ha hecho pública.
    • El proveedor ha publicado una corrección o parche.

     

    Indicadores

    Los indicadores de esta vulnerabilidad pueden incluir lo siguiente:

    En el host:

    • Bloqueo del servicio BIND/DNS
    • Fallos de validación de BIND

    Mensajes de ejemplo:

    rdata/generic/brid_68.c:87: REQUIRE(rdata->length >= 3) falló

    rdata/generic/hhit_67.c:87: REQUIRE(rdata->length >= 3) falló

    En la red:

    • Tipos de registros de recursos DNS: HHIT (tipo 67) y BRID (tipo 68) con una longitud de RDATA inferior a tres octetos

     

    Recomendaciones

    Si está ejecutando versiones afectadas de ISC BIND, se recomienda actualizar a las versiones corregidas:

    • 9.18.44
    • 9.18.44-S1
    • 9.20.18
    • 9.20.18-S1
    • 9.21.17

     

    Detalles de la vulnerabilidad

    Dos tipos de registros de recursos DNS malformados —HHIT (tipo 67) y BRID (tipo 68)— desencadenan una aserción en la implementación de ` dns_rdata_towire()` de BIND cuando la longitud de RDATA es inferior a tres octetos. La aserción interrumpe el demonio ` named` , lo que provoca una condición inmediata de denegación de servicio (DoS). HHIT y BRID forman parte de la implementación de las etiquetas de entidad DRIP de la IETF en ISC BIND.

    La vulnerabilidad puede explotarse de forma remota tanto en modo de reenvío como en modo recursivo; el atacante solo tiene que hacer que el servidor procese un mensaje DNS manipulado que contenga un RR HHIT o BRID de tamaño insuficiente.

     

    Cronología

    01-11-2025 - Vulnerabilidad notificada al contacto de seguridad oficial de ISC

    01-11-2025 – Se confirma la recepción del informe por parte de ISC con preguntas adicionales

    04/11/2025: el ISC reconoce la vulnerabilidad

    02/12/2025: registro CVE reservado: CVE-2025-13878

    21/01/2026 – Divulgación pública de la vulnerabilidad y disponibilidad de la corrección oficial

    Preguntas y respuestas previstas

    • No utilizo las etiquetas de entidad DRIP, ¿sigue siendo vulnerable mi instalación de ISC BIND?

    Sí, la instalación de ISC BIND es vulnerable incluso si no utiliza esa función, pero ejecuta una versión vulnerable de ISC BIND (o cualquier software, solución o dispositivo basado en él).

    • ¿Hay algún otro servicio de software DNS vulnerable?

    Solo si se basa en el código fuente de ISC BIND y en las versiones afectadas. Otros programas de DNS como Unbound, PowerDNS o dnsmasq no son vulnerables a esta vulnerabilidad específica, ya que no han implementado esa funcionalidad.

    • ¿Hay alguna otra solución DNS vulnerable?

    Si tienes un dispositivo u otra solución basada en las versiones afectadas de ISC BIND, es posible que tengas instalaciones vulnerables. Consulta con tu proveedor mencionando CVE-2025-13878 como referencia.


    Referencias

    ISC Bind – Entrada CVE - CVE-2025-13878

    Etiquetas de entidad DRIP de la IETF en el Sistema de Nombres de Dominio, 19 de agosto de 2025:

    Matriz de vulnerabilidades del software BIND 9

    Aviso de ciberseguridad de Marlink - MCSAID-2025-015 – ISC BIND

    Problema con la implementación de los registros BRID / HHIT en ISC BIND

    ISC Bind

    CVE-2025-13878 

    ¿En qué podemos ayudarte?

    Ponte en contacto con nosotros

    Póngase en contacto con nosotros para descubrir cómo podemos ayudarle a crear nuevas posibilidades para sus operaciones. 

    Sus datos son necesarios para tramitar su consulta y se utilizarán únicamente con este fin.
    Marque esta casilla para confirmar que desea recibir ocasionalmente información comercial de Marlink. Respetamos su privacidad: nunca compartiremos sus datos con terceros y puede darse de baja en cualquier momento. Lea aquí nuestra Política de privacidad.

    Perspectivas

    Descubre nuestras últimas novedades y explora lo último en protección digital a través de nuestra selección de noticias, artículos y blogs de expertos.

    Descubre más noticias para ti