PowerDNS ha emitido una actualización de seguridad urgente para su balanceador de carga DNSdist, con el fin de corregir una vulnerabilidad crítica (CVE-2025-30193). Esta falla podría permitir a atacantes remotos ejecutar ataques de denegación de servicio (DoS) no autenticados, comprometiendo la disponibilidad del servicio.
La solución se implementó en la versión 1.9.10 de DNSdist, lanzada el 20 de mayo de 2025. Expertos en seguridad instan a las organizaciones que utilizan DNSdist a aplicar esta actualización de inmediato para mitigar el riesgo de interrupciones, ya que la vulnerabilidad puede ser explotada mediante la creación de conexiones TCP diseñadas para sobrecargar el servicio.
La vulnerabilidad descubierta recientemente en PowerDNS DNSdist afecta a todas las versiones anteriores a la 1.9.10 y presenta un riesgo de seguridad significativo para la infraestructura DNS.
La falla permite a atacantes remotos sin credenciales de autenticación causar interrupciones en el servicio al explotar la forma en que DNSdist maneja ciertas conexiones TCP.
Según los expertos en seguridad, la vulnerabilidad se informó inicialmente a través del canal público IRC de PowerDNS antes de que el equipo de desarrollo confirmara sus implicaciones de seguridad.
El análisis técnico muestra que la vulnerabilidad se debe a un manejo inadecuado de los estados de las conexiones TCP, que los actores malintencionados pueden aprovechar para agotar los recursos del servidor.
A diferencia de muchas vulnerabilidades relacionadas con DNS que apuntan al tráfico UDP, este ataque aprovecha específicamente los mecanismos de manejo de conexiones TCP.
El problema es particularmente preocupante para las organizaciones que utilizan DNSdist como equilibrador de carga frontal para su infraestructura DNS, ya que una explotación exitosa podría hacer que los servicios DNS no estén disponibles en redes enteras.
Estrategias de mitigación y soluciones alternativas
PowerDNS recomienda encarecidamente a los usuarios que actualicen a la versión 1.9.10 inmediatamente para abordar la vulnerabilidad.
Para las organizaciones que no pueden actualizar de inmediato, la compañía ha descrito una solución temporal para mitigar el riesgo.
Los administradores pueden implementar la directiva setMaxTCPQueriesPerConnection para limitar la cantidad de consultas aceptadas en una única conexión TCP entrante.
«Establecerlo en 50 es una opción segura que no afecta el rendimiento en nuestras pruebas», señala PowerDNS en su aviso.
Este cambio de configuración evita efectivamente que los atacantes aprovechen la vulnerabilidad mientras mantienen las operaciones DNS normales.
Los investigadores de seguridad enfatizan que, si bien esta solución brinda protección temporal, no debe considerarse una solución permanente y la actualización sigue siendo el curso de acción recomendado.
Mejoras de seguridad y disponibilidad
La versión DNSdist 1.9.10 incluye otras correcciones de seguridad importantes además de la vulnerabilidad CVE-2025-30193.
Las mejoras notables incluyen limitar las conexiones TCP salientes habilitadas para el protocolo proxy, solucionar problemas de corrupción de memoria al usar getAddressInfo, mejorar el comportamiento de búsqueda de caché para backends solo TCP no disponibles y mejorar el manejo de sockets en sistemas FreeBSD para pasar solo direcciones de origen en sockets vinculados a CUALQUIER.
El software actualizado ahora está disponible a través de múltiples canales de distribución.
Los usuarios pueden descargar archivos comprimidos de lanzamiento y firmas desde el sitio web oficial de descargas de PowerDNS.
Para aquellos que utilizan distribuciones de Linux compatibles, los repositorios de paquetes se han actualizado con la versión parcheada.
PowerDNS anima a los usuarios a informar cualquier problema encontrado con la actualización a través de su lista de correo o página de GitHub.
Los administradores de DNS deben priorizar esta actualización, ya que los investigadores advierten que los exploits dirigidos a esta vulnerabilidad podrían surgir rápidamente dada la divulgación pública y la relativa simplicidad de activar la condición de denegación de servicio.
