VulnCheck: почти 30% уязвимостей были атакованы до их публичного раскрытия

Компания VulnCheck опубликовала отчёт «Состояние эксплуатации уязвимостей в 2026 году», который фиксирует резкое ускорение активности киберпреступников. Согласно данным исследования, в 2025 году 28,96% известных эксплуатируемых уязвимостей (KEV) были использованы злоумышленниками ещё до публичного раскрытия или в день публикации информации о них. Для сравнения, в 2024 году этот показатель составлял 23,6%, что указывает на устойчивый рост доли атак нулевого и одного дня.

Авторы отчёта уточняют, что в качестве точки отсчёта используется дата публикации идентификатора CVE. При этом реальная картина сложнее. Исследователь VulnCheck Патрик Гаррити пояснил, что в ряде случаев информация об уязвимости сначала появлялась в отдельных публичных уведомлениях, затем начиналась эксплуатация, и только после этого выпускался официальный CVE. Это означает, что не каждая уязвимость, атакованная до или в день публикации CVE, формально относится к нулевому дню. Тем не менее рост доли таких случаев с примерно 24% до почти 30% демонстрирует, что злоумышленники всё быстрее используют окна отсутствия защиты.

В течение 2025 года VulnCheck зафиксировала 884 уязвимости, для которых впервые были обнаружены признаки реальной эксплуатации. Это на 15% больше по сравнению с предыдущим годом. Атаки затронули сотни производителей и широкий спектр продуктов, что подчёркивает масштаб проблемы и отсутствие узкой отраслевой концентрации.

Наиболее часто объектами атак становились устройства на периферии сети. В 2025 году было выявлено 191 уязвимость KEV в межсетевых экранах, VPN и прокси-серверах. Следом шли системы управления контентом с 163 уязвимостями и программное обеспечение с открытым исходным кодом, где зафиксировано 129 случаев. Такой выбор целей отражает интерес злоумышленников к компонентам, обеспечивающим удалённый доступ и сетевую связность.

Отчёт также показывает, что временные характеристики начала эксплуатации уязвимостей в 2025 году почти не изменились по сравнению с 2024 годом. Это говорит о стабильной и отлаженной модели поведения атакующих, которые действуют быстро и системно, не снижая темпов даже на фоне роста внимания к управлению уязвимостями.

Особенно уязвимыми оказались операционные системы. Почти половина ключевых уязвимостей, затрагивающих ОС и выявленных VulnCheck в 2025 году, была использована до публичного раскрытия или сразу после него. Это подчёркивает высокий риск для базовой инфраструктуры и сложность своевременной защиты таких компонентов.