Una serie de vulnerabilidades recién documentadas en ISC BIND 9 ha generado preocupaciones de seguridad significativas para los operadores de infraestructura DNS, con múltiples fallos que permiten ataques de denegación de servicio (DoS), corrupción de memoria y una posible explotación remota.

Las últimas entradas en la Matriz de Vulnerabilidades de Software de BIND 9 destacan riesgos críticos que afectan tanto a los resolutores recursivos como a los servidores de nombres autoritativos, subrayando la urgencia de aplicar parches y gestionar las versiones de manera oportuna en entornos empresariales y en la nube.

El Internet Systems Consortium (ISC) mantiene la matriz de vulnerabilidades como una herramienta de referencia centralizada que vincula los CVE con las versiones de BIND afectadas, permitiéndote determinar los niveles de exposición rápidamente.

Vulnerabilidades de BIND 9

La matriz se divide en dos secciones: un índice de vulnerabilidades que vincula los identificadores CVE con descripciones técnicas, y tablas específicas por versión que indican qué versiones de BIND están afectadas.

Esta estructura te permite realizar una evaluación de riesgos precisa, especialmente en entornos complejos que ejecutan ramas mixtas de BIND.

Entre los problemas más graves se encuentra el CVE-2026-3593, una vulnerabilidad de uso posterior a la liberación (use-after-free) de memoria en la implementación de DNS-over-HTTPS (DoH) de BIND.

Este fallo puede permitir potencialmente que los atacantes provoquen una corrupción de memoria, lo que derivaría en caídas del sistema o en la ejecución de código arbitrario bajo condiciones específicas.

Otro fallo crítico, el CVE-2026-5950, implica un bucle de reenvío no delimitadamente en la lógica del resolutor, que puede ser explotado para agotar los recursos del sistema y causar condiciones sostenidas de denegación de servicio.

Vulnerabilidades adicionales amplían la superficie de ataque. El CVE-2026-5947 afecta la validación SIG(0) durante cargas altas de consultas, lo que podría conducir a un comportamiento indefinido e inestabilidad del servicio.

El CVE-2026-5946 destaca la gestión inadecuada de las consultas de clase no-IN, que podría aprovecharse para interrumpir la lógica de procesamiento de DNS.

Mientras tanto, el CVE-2026-3592 introduce riesgos de amplificación a través de registros glue autorreferenciales, abriendo la puerta a ataques DDoS reflejados.

El CVE-2026-3039 demuestra además el riesgo de agotamiento de memoria durante la negociación TKEY de GSS-API, que los atacantes podrían explotar para degradar el rendimiento del servidor.

Por ejemplo, un atacante dirigido a un resolutor recursivo vulnerable podría explotar el fallo del bucle de reenvío (CVE-2026-5950) diseñando consultas DNS maliciosas que activen retransmisiones repetidamente.

Eventualmente, esto saturará los recursos de CPU y memoria, causando interrupciones del servicio en las aplicaciones dependientes.

El ISC te aconseja encarecidamente no utilizar versiones que hayan llegado al fin de su vida útil (EOL) de BIND 9, ya que ya no se prueban para vulnerabilidades recién descubiertas y se presumen inseguras.

Las ramas heredadas desde la 9.0 hasta la 9.16 siguen desplegadas ampliamente en algunos entornos, lo que aumenta el riesgo de explotación debido a fallos no parcheados posteriores al EOL.

La organización recomienda actualizar a versiones estables compatibles y evitar el uso de compilaciones alpha, beta o candidatas a lanzamiento en entornos de producción.

Tus equipos de seguridad deberían priorizar la gestión de parches, la monitorización continua y el endurecimiento de la configuración para mitigar estas amenazas.

También se anima a los defensores de red a auditar los despliegues de DNS, restringir funciones innecesarias como DoH donde no sea requerido e implementar la limitación de tasa (rate limiting) para reducir la exposición a ataques de amplificación e inundación.