Aumentan los ataques a máquinas Linux

El día de hoy vamos a estar comentando sobre la tendencia de ataques en Linux

Recientemente los datos que arroja el informe de Kasperski “Exploits and vulnerabilities in Q1 2024” indican que las explotaciones de vulnerabilidades para sistemas operativos Linux tienen una tendencia creciente que no parece que vaya a frenarse.

Estos datos tienen como muestra los equipos protegidos por productos Kasperski y muestran como las explotaciones en equipos Linux han aumentado durante los últimos años mientras que las explotaciones en máquinas Windows se mantienen constantes. Tomando los datos del Q1 2023 como base, el número de ataques se ha multiplicado por 2,26 en este último Q1 2024.

Número de usuarios Linux que han sufrido ataques:

Número de usuarios Windows que han sufrido ataques:

Disponibilidad pública de exploits

El análisis de Kasperski sorprende con la disponibilidad de exploits, y es que la publicación de PoCs o directamente del exploit listo para ser utilizado es alta. En los datos sobre vulnerabilidades registradas independientemente del sistema operativo, se aprecia como el porcentaje de publicación de exploits es alto al mismo tiempo que el porcentaje de vulnerabilidades críticas está subiendo. Esta combinación de disponibilidad de exploits y criticidad de vulnerabilidades es una de las razones que pueden justificar el aumento de explotaciones. Tal y como se puede apreciar en la siguiente gráfica:

Tipos de exploits 

El informe destaca varias plataformas en las que el interés de los atacantes es mayor y existen más exploits publicados. Más de la mitad de exploits aprovechan vulnerabilidades de sistema operativo, siendo la principal plataforma objetivo. Otros van orientados a:

• Navegadores

• Sistemas operativos (Windows, Linux, macOS)

• Servidores Microsoft Exchange y sus componentes

• Servidores Microsoft SharePoint y sus componentes

• Suite de Microsoft Office

• Otras aplicaciones

Distribución de exploits para vulnerabilidades críticas por plataforma, datos de Q1 2024

Conclusiones

Las vulnerabilidades de sistema operativo son el principal foco de exploits y por lo tanto las que más interés ofrecen a atacantes. Esto sumado al creciente número de vulnerabilidades críticas publicadas y a la alta disponibilidad de exploits listos para utilizar agrava la situación y da aún mas importancia a la gestión de riesgos. Dentro de esta gestión una de las tendencias actuales es la creciente explotación de vulnerabilidades en Linux. Esta es una muestra mas de la importancia de la expansión de la ciberseguridad y su aplicación de forma transversal sobre todos los componentes afectados.

Daniel Rico, analista de ciberseguridad en Grupo Zerolynx.

Dudas y aclaraciones sobre cómo implantar NIS2 en nuestras empresas

Recientemente estuvimos hablando de la Directiva NIS2 en otro artículo de Flu Project, en este caso, dedicado a otro tema de vertiente muy similar, el lanzamiento del 2º paquete RTS lanzado por las AES para el cumplimiento de DORA. Sin embargo, en el post de hoy queremos centrarnos en NIS2 y en algunas de las diferentes dudas que han ido surgiendo en los últimos meses, así que guardaros este post a modo de FAQ, que posiblemente os resulte de utilidad en vuestras respectivas organizaciones.

A modo de recordatorio, cuando hablamos de NIS2 nos referimos a la Directiva (UE) 2022/2555: NIS 2 (v2 de Network and Information Security), dirigida a elevar la ciberseguridad en la UE utilizando como palanca a sectores esenciales. No tiene nada que ver con el NIST (americano), cuyo parecido en 3 letras de 4 es mera coincidencia ;). Esta nueva regulación nace para actualizar y derogar la Directiva (UE) 2016/1148 del 6 de julio de 2016 (antigua Directiva NIS1).

NIS2 distingue dos grandes agrupaciones a las cuales les aplicarán determinados requerimientos en función de su criticidad. Estos requerimientos serán de aplicación para las empresas de estos sectores, siempre y cuando tengan más de 50 trabajadores (es decir, que al menos sean mediana empresa):

• Sectores de Alta Criticidad:
• Energía
• Transporte
• Banca
• Infraestructuras Mercados financieros
• Sector Sanitario
• Agua potable
• Aguas Residuales
• Infraestructura Digital
• Servicios TIC (B2B)
• Administración pública
• Espacio

• Otros Sectores Críticos:
• Servicios Postales y de mensajería
• Gestión de Residuos
• Fabricación, producción y distribución de sustancias y mezclas químicas
• Producción, transformación y distribución de alimentos
• Fabricación: Entre otros de productos sanitarios.
• Proveedores de servicios digitales
• Investigación

Sin embargo y por la redacción del Artículo 2, Punto 1 de la Directiva, el cual ha generado algo de controversia porque la redacción da lugar a confusión, estos requerimientos no solo aplicarán a estos 18 sectores en las organizaciones medianas y grandes, si no que tambien aplicarán a cualquier organización de estos sectores, independientemente de su tamaño, en determinadas circunstancias.

Esta hipótesis queda corroborada tras la publicación del Centro Criptológico Nacional, quien aclara en esta página que, con independencia de su tamaño, las medidas aplicarán a ambas agrupaciones (Sectores de Alta Criticidad y Críticos) en casos vinculados a la seguridad nacional y al funcionamiento de las infraestructuras críticas, en centros que realicen investigación (ej. centros de enseñanza), en administraciones regionales y locales (ej. ayuntamientos), lo cual por otra parte es algo obvio, dado que en muchos casos como en pueblos y pequeñas ciudades no llegarán a los 50 empleados pero sus servicios son mas que esenciales para la ciudadanía y el estado, etc. En la siguiente captura de la web del CCN podréis consultar estos detalles: 

En esta misma publicación podréis descargar una infografía muy interesante que vincula el Esquema Nacional de Seguridad (ENS) con NIS2, y en la que aclaran que a ojos de la administración, una compañía que disponga del ENS certificado en su Nivel Alto, será considerada como "conforme" frente a la Directiva NIS2, por lo que si ya contáis con esta certificación, ya tendréis hechos los deberes:

 

Asimismo, aclara que aquellas compañías que tengan certificaciones ENS Media y Básica deberán hacer hincapié en los temas de continuidad y gestión de proveedores, tal y como define la propia Directiva.

Para comenzar a entender de qué va NIS2 os recomiendo 2 de las publicaciones oficiales que tenemos en castellano, la propia traducción oficial de la directiva:

Y la Guía CCN-STIC 892 que ha sido publicada hace apenas unos días:

Por otro lado, es importante aclarar que, según el artículo 41 de la Directiva NIS2, esta deberá transponerse por los países de la UE no mas tarde del 17 de octubre de 2024, bajo una norma con rango de Ley. Es decir, en un mes aproximadamente finalizará el plazo para tenerla oficialmente con nosotros, aunque aún hay cierta incertidumbre porque no ha sido publicada y se desconoce si habrá muchas variaciones que puedan cambiar el paso a aquellas organizaciones que ya se han puesto manos a la obra con la implantación.

Otra fecha importante que tenemos con nosotros es el 17 de abril de 2025, día en el que los diferentes países de la UE deberán de haber hecho públicos sus listados de empresas y administraciones afectadas por la aplicación de la regulación. Estos listados de entidades esenciales e importantes deberán de actualizarse, como máximo, cada 2 años.

Finalmente y al respecto de otra pregunta que nos suelen hacer, ¿NIS2 es certificable? Técnicamente NO. Simplemente es una ley que debemos de cumplir, como ocurre con otras muchas como la Ley Orgánica de Protección de Datos (LOPD). Sin embargo, tal y como aclara el CCN-CERT, debido a sus similitudes, la posesión de la certificación del ENS es una via reconocida para cumplir NIS2, por lo que es algo que las organizaciones podrán pensarse dentro de sus estrategias de gobierno y seguridad.

Próximamente seguiremos ampliando esta cadena de artículos según vayan siendo publicados nuevos datos de esta regulación tan esperada.

¡Saludos!