Согласно свежему отчету компании VulnCheck, треть уязвимостей, используемых злоумышленниками в первом полугодии 2025 года, относились к категории нулевого или первого дня (эксплуатируемых в день публикации или в течение суток после раскрытия). Это означает, что организации все чаще сталкиваются с атаками, не имея возможности установить обновления системы безопасности заранее. В первой половине 2025 года доля таких уязвимостей выросла до 32,1% по сравнению с 23,6% в 2024 году. Это свидетельствует о том, что злоумышленники получают доступ к информации о них практически одновременно с их официальным раскрытием, а иногда и раньше.

В первом полугодии 2025 года VulnCheck добавила в свою базу данных 432 уникальные уязвимости (CVE), которые уже эксплуатировались в реальных атаках (known exploited vulnerabilities, KEV). Это в три с лишним раза больше 132 CVE, добавленных за тот же период в каталог KEV Агентства кибербезопасности и защиты инфраструктуры США (CISA). Разница объясняется более широким охватом VulnCheck: компания анализирует данные более чем из 500 источников, включая «приманки» (honeypot) GreyNoise и Shadowserver Foundation. В июне 2025 года анализ данных Shadowserver выявил признаки эксплуатации 32 уязвимостей, которым еще не были присвоены CVE-идентификаторы, а значит, они не могли быть включены в каталог CISA.

Кроме того, треть KEV, уже зафиксированных в реальных атаках, еще не проанализирована NIST для включения в Национальную базу уязвимостей (NVD), несмотря то, что они уже получили идентификаторы CVE. Это указывает на растущую задержку в обработке и публикации критически важной информации о безопасности.

Наибольшее число эксплуатируемых уязвимостей в 2025 году (86 случаев) пришлось на системы управления контентом (CMS). Значительная часть из них связана с плагинами WordPress.

На втором месте – пограничные сетевые устройства: маршрутизаторы, межсетевые экраны, VPN-шлюзы и устройства сетевой безопасности (77 KEV). Эта категория особенно привлекательна для хакерских групп, поддерживаемых властями и занимающихся кибершпионажем.

К другим популярным категориям относятся:

— серверное ПО (61 уязвимость);

— ПО с открытым кодом (55);

— операционные системы (38);

— аппаратные устройства (камеры, видеорегистраторы и другое встроенное оборудование).

Среди вендоров на первом месте оказалась Microsoft (32 уязвимости, из которых 26 связаны с Windows). Далее следуют Cisco (10), Apple, Totolink и VMware (по 6).

Важно отметить, что не все KEV относятся к числу новых. Многие из них существовали годами, но только сейчас начали активно использоваться в атаках. При этом из 181 уязвимости, связанной с известными хакерскими группами, 147 имели признаки эксплуатации еще в 2024 году, но оставались незамеченными до 2025-го.

По свидетельству исследователей из VulnCheck, время на реакцию у организаций сокращается до минимума. И эффективность защиты зависит теперь не столько от скорости обновления системы безопасности, сколько от способности обнаружить атаку в реальном времени.