159 эксплуатируемых CVE за квартал — сколько из них затронули ваш бизнес

За первый квартал 2025 года в киберпространстве были зафиксированы атаки, использующие 159 уникальных уязвимостей с присвоенными CVE-идентификаторами. Это немного больше по сравнению с концом прошлого года, когда таких уязвимостей насчитывалось 151. Почти треть всех этих уязвимостей — 28,3% — начали активно использоваться уже в течение суток после официального раскрытия, что говорит о стремительном превращении технической информации в инструмент атаки.

45 уязвимостей были задействованы в атаках в течение первого дня после публикации. Ещё 14 начали эксплуатироваться в течение месяца, и ещё 45 — в течение года. Чаще всего под удар попадали системы управления контентом (CMS) — именно в них обнаружено больше всего эксплуатируемых уязвимостей. Следом идут сетевые устройства на границе периметра, операционные системы, компоненты с открытым исходным кодом и серверное ПО.

Среди компаний, чьи продукты подвергались атакам, лидирует Microsoft — её операционная система Windows фигурирует в 15 случаях. Также в списке Broadcom VMware (6 уязвимостей), Cyber PowerPanel (5), Litespeed Technologies (4) и маршрутизаторы TOTOLINK (4).

По оценке VulnCheck, в среднем каждую неделю появляются более 11 критических уязвимостей с известной эксплуатацией, а за месяц их число достигает 53. При этом база CISA Known Exploited Vulnerabilities пополнилась за квартал 80 уязвимостями, но лишь 12 из них не имели ранее подтверждённых фактов эксплуатации. Это подчёркивает, насколько открытая информация об уязвимостях быстро доходит до злоумышленников.

Около 26% всех уязвимостей до сих пор находятся в процессе анализа в Национальной базе уязвимостей NIST, а 3% уже получили статус «отложенных» — новая категория, появившаяся в 2025 году.

Новый отчёт Verizon по инцидентам утечек данных указывает, что использование уязвимостей в качестве точки входа при атаках увеличилось на 34% и теперь составляет пятую часть всех инцидентов. Это подчёркивается и данными от Mandiant: эксплойты остаются самым частым способом начальной инфильтрации в системах уже пятый год подряд. Фишинг уступил второе место похищенным учётным данным.

По данным той же Mandiant, треть всех атак в 2025 году начиналась с эксплуатации уязвимостей. Это немного ниже, чем в 2023 году, когда такие случаи составляли 38%, но близко к уровню 2022 года — 32%. Несмотря на активность атакующих, защитные механизмы становятся эффективнее: медианное время присутствия злоумышленника в системе до его обнаружения увеличилось лишь на один день и составило 11 суток.

Ситуация подчёркивает необходимость не только в оперативных обновлениях, но и в постоянном мониторинге уязвимостей, особенно в публично доступных сервисах и сетевых устройствах. С каждым кварталом окно между публикацией и началом эксплуатации сокращается, что превращает даже краткую задержку с обновлением в серьёзный риск.