Una vulnerabilidad de alta gravedad en BIND 9 —uno de los servidores DNS más extendidos de Internet— puede provocar la terminación inesperada del proceso named cuando recibe determinados registros BRID/HHIT malformados, causando una denegación de servicio (DoS). Internet Systems Consortium (ISC) publicó el aviso oficial el 21 de enero de 2026, tras una notificación temprana el 14 de enero de 2026.
El impacto potencial no es menor: BIND suele operar en componentes críticos (DNS autoritativo y resolutores), por lo que un “crash” repetible puede traducirse en interrupciones de resolución, degradación de servicios y, en entornos empresariales, afectación transversal de aplicaciones dependientes de DNS.
Qué se sabe de la vulnerabilidad
- Identificador: CVE-2025-13878
- Tipo: Denegación de servicio (DoS)
- Explotación: Remota (por red), sin privilegios y sin interacción del usuario
- Gravedad: CVSS v3.1 = 7,5 (Alta)
- Alcance: afecta tanto a servidores autoritativos como a resolutores
ISC indica que, a la fecha del aviso, no tiene constancia de explotación activa y que no existen mitigaciones alternativas: la recomendación es actualizar.
Versiones afectadas y versiones corregidas
La vulnerabilidad impacta varias ramas mantenidas de BIND 9. ISC recomienda actualizar a la versión parcheada “más cercana” a la que se esté utilizando.
| Rama | Versiones vulnerables | Versión parcheada |
|---|---|---|
| BIND 9 (Standard) | 9.18.40 – 9.18.43 | 9.18.44 |
| BIND 9 (Standard) | 9.20.13 – 9.20.17 | 9.20.18 |
| BIND 9 (Standard) | 9.21.12 – 9.21.16 | 9.21.17 |
| BIND SPE (Preview) | 9.18.40-S1 – 9.18.43-S1 | 9.18.44-S1 |
| BIND SPE (Preview) | 9.20.13-S1 – 9.20.17-S1 | 9.20.18-S1 |
Por qué preocupa especialmente en 2026
DNS es una de esas piezas “silenciosas” que no se ven… hasta que fallan. En la práctica, una caída de named puede:
- Romper resolución interna (ERP, SSO, APIs, microservicios, colas, etc.).
- Afectar balanceadores, gateways, MTA y servicios de seguridad que dependen de DNS.
- Multiplicar el impacto en organizaciones con resolutores centralizados o infraestructura autoritativa expuesta.
Además, al tratarse de un fallo que puede provocarse de forma remota, el riesgo operativo se eleva en entornos con superficie DNS pública o con resolutores accesibles por redes amplias.
Qué deberían hacer los equipos de sistemas y seguridad
1) Inventariar y priorizar
- Identificar dónde corre BIND 9 (autoritativos, recursivos, DNS interno, anycast, etc.).
- Comprobar la versión exacta (
named -vo el gestor de paquetes). - Priorizar sistemas expuestos a Internet o que den servicio a amplios segmentos.
2) Aplicar el parche (única mitigación)
ISC establece que no hay workarounds conocidos, por lo que la corrección pasa por actualizar a las versiones parcheadas.
3) Validar operación y endurecer la respuesta a incidentes
- Reinicio controlado del servicio DNS tras la actualización (con ventana y rollback planificado).
- Monitorización: alertas por caída del proceso, reinicios frecuentes y latencia anómala.
- Revisión de exposición: limitar recursión a redes autorizadas, controles de acceso y segmentación (buenas prácticas generales de hardening DNS).
Preguntas frecuentes (FAQ)
¿Cómo sé si estoy afectado por CVE-2025-13878?
Si ejecutas BIND 9 en alguna de las versiones listadas como vulnerables (por ejemplo, 9.18.40–9.18.43, 9.20.13–9.20.17 o 9.21.12–9.21.16), estás afectado y deberías actualizar a la versión corregida de tu rama.
¿Afecta solo a DNS autoritativos o también a resolutores recursivos?
Afecta a ambos: servidores autoritativos y resolutores (recursivos).
¿Hay mitigaciones temporales sin actualizar?
ISC indica que no existen soluciones alternativas conocidas. La mitigación viable es parchear.
¿Hay explotación activa confirmada?
En el aviso oficial, ISC afirma que no tiene constancia de explotación activa en el momento de la publicación, lo que no elimina el riesgo, pero sí refuerza la importancia de actuar con rapidez durante esta ventana.
