Google Threat Intelligence Group (GTIG) зафиксировала 90 активно эксплуатируемых уязвимостей нулевого дня в 2025 году, почти половина из которых пришлась на корпоративное ПО. Отмечен рост по сравнению с 2024 годом, а также смещение фокуса от госструктур к коммерческим поставщикам шпионского ПО. — bleepingcomputer.com
Группа Google по анализу угроз (GTIG) отследила 90 уязвимостей нулевого дня, активно эксплуатировавшихся в течение 2025 года; почти половина из них приходилась на корпоративное программное обеспечение и аппаратные устройства.
Этот показатель на 15% выше, чем в 2024 году, когда в реальных условиях было использовано 78 уязвимостей нулевого дня, но ниже рекордного показателя 2023 года, когда было зафиксировано 100 таких уязвимостей.
Уязвимости нулевого дня — это проблемы безопасности в программных продуктах, которыми пользуются злоумышленники, как правило, до того, как поставщик узнает о них и разработает исправление. Они высоко ценятся субъектами угроз, поскольку часто обеспечивают первоначальный доступ, удаленное выполнение кода или повышение привилегий.
В сегодняшнем отчете GTIG отмечается, что из 90 уязвимостей нулевого дня, отслеженных как эксплуатируемые в 2025 году, 47 были нацелены на платформы конечных пользователей, а 43 — на корпоративные продукты.
Типы эксплуатируемых уязвимостей включают удаленное выполнение кода, повышение привилегий, ошибки внедрения и десериализации, обход авторизации и ошибки повреждения памяти (use-after-free). Google сообщает, что в прошлом году проблемы безопасности памяти составили 35% всех эксплуатируемых уязвимостей нулевого дня.
Наиболее целевыми корпоративными системами были устройства безопасности, сетевая инфраструктура, VPN и платформы виртуализации, поскольку они предоставляют привилегированный сетевой доступ и часто не имеют мониторинга EDR.
GTIG сообщает, что ошибки в операционных системах стали самой эксплуатируемой категорией в прошлом году: атаки использовали 24 уязвимости нулевого дня в настольных ОС и 15 — в мобильных платформах.
Число эксплойтов нулевого дня в веб-браузерах снизилось до восьми, что является резким падением по сравнению с предыдущими годами.
Аналитики Google предполагают, что это может быть связано с усилением мер безопасности в этой категории программного обеспечения, хотя также возможно, что субъекты угроз используют более продвинутые методы уклонения и лучше скрывают вредоносную активность.
По данным исследователей GTIG, Microsoft стала ведущим поставщиком, против которого были направлены уязвимости нулевого дня в прошлом году (25), за ней следуют Google (11), Apple (восемь), Cisco и Fortinet (по четыре), а также Ivanti и VMware (по три).
Впервые с тех пор, как Google начала отслеживать эксплуатацию уязвимостей нулевого дня, поставщики коммерческого шпионского ПО стали крупнейшими пользователями недокументированных уязвимостей, обогнав спонсируемые государством шпионские группы, которые, возможно, также применяют более эффективные методы сокрытия.
«Это продолжает отражать тенденцию, которую мы начали наблюдать в течение последних нескольких лет, — растущая доля эксплуатации уязвимостей нулевого дня осуществляется CSV (коммерческими поставщиками шпионского ПО) и/или их клиентами, что демонстрирует медленное, но верное движение в этом ландшафте», — говорится в отчете GTIG.
Исследователи Google утверждают, что среди спонсируемых государством субъектов наиболее активными остаются шпионские группы, связанные с Китаем: в 2025 году было использовано 10 уязвимостей нулевого дня. Атаки были нацелены в первую очередь на граничные устройства, устройства безопасности и сетевое оборудование для обеспечения долгосрочного постоянного доступа.
Другой заметной тенденцией, наблюдавшейся в прошлом году, стал рост эксплуатации уязвимостей нулевого дня субъектами, мотивированными финансовыми соображениями (программы-вымогатели, вымогательство данных), на долю которых пришлось девять уязвимостей.
GTIG полагает, что использование инструментов ИИ поможет автоматизировать обнаружение уязвимостей и ускорить разработку эксплойтов, поэтому ожидается, что эксплуатация уязвимостей нулевого дня в 2026 году останется на высоком уровне.
Кампания Brickstorm приводится в отчете как пример того, как хакеры смещают акцент с кражи исходного кода на обнаружение уязвимостей в будущих программных продуктах.
Для обнаружения и сдерживания эксплуатации уязвимостей нулевого дня Google рекомендует сокращать поверхности атаки и экспозицию привилегий, постоянно отслеживать системы на предмет аномального поведения, а также поддерживать процессы быстрого исправления и реагирования на инциденты.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas