На прошлой неделе исследователи «Лаборатории Касперского» опубликовали очередной отчет по эксплойтам и уязвимостям за первый квартал 2025 года. В отчете приводится как общая статистика по вновь обнаруженным уязвимостям на основе данных из базы CVE, так и данные по наиболее часто используемым эксплойтам в реальных атаках. Свежие данные можно сравнить с отчетом годичной давности за первый квартал 2024 года.
Всего за первый квартал 2025 года в базе CVE появились данные о 6616 новых уязвимостях, из которых 227 признаны критическими. Это заметно меньше, чем в первом квартале 2024 года (соответственно, 9727 и 430). В отчете приведена подробная статистика по типам уязвимостей (CWE, Common Weakness Enumeration) для ядра Linux и продуктов Microsoft. В ядре Linux чаще всего исправлялись ошибки, связанные с разыменовыванием нулевого указателя. На втором месте по «популярности» были уязвимости типа Use After Free, на третьем — проблемы, связанные с некорректной обработкой доступа к ресурсу, с которым взаимодействуют несколько процессов.
Для сравнения, в продуктах Microsoft список типов уязвимостей — похожий, но также часто встречаются ошибки переполнения буфера в куче и уязвимости повреждения памяти (Out-of-bounds Write). Авторы отчета отмечают, что часто сталкиваются с примерами, когда механизмы атак «портируются» с Linux на Windows и наоборот.
Статистика наиболее часто эксплуатируемых уязвимостей серьезно различается для конечных пользователей и организаций. «Потребительское» вредоносное ПО по-прежнему нацелено на, мягко говоря, давно известные уязвимости в ПО. В TOP 3 входят уязвимости CVE-2018-0802 и CVE-2017-11882 для компонента Equation Editor в Microsoft Office, а также уязвимость CVE-2017-0199 в Microsoft Office и WordPad. Эти три уязвимости чаще всего эксплуатировались в реальных атаках в течение всего 2024 года. Самая свежая проблема среди часто эксплуатируемых — CVE-2024-35250 в Windows-драйвере ks.sys, закрытая в июне 2024 года. В атаках на системы под управлением Linux чаще всего эксплуатировалась уязвимость CVE-2022-0847, известная как Dirty Pipe.
Примерно половина из часто эксплуатируемых уязвимостей относится к операционной системе, еще 16% — к браузерам. По сравнению с данными годичной давности можно отметить, что разнообразие атакуемого ПО снижается: совокупная доля атак на ОС и браузеры выросла с 43 до 64 процентов. А вот в продвинутых атаках на организации свежеобнаруженные проблемы в ПО используются гораздо чаще. На первом месте в первом квартале 2025 года оказалась уязвимость CVE-2025-0282 в корпоративном VPN-сервисе Ivanti Connect Secure. 5 из 10 наиболее часто атакуемых проблем обнаружены в 2025 и 2024 годах. Помимо продуктов Ivanti, а также привычных Microsoft Office и Exchange часто атаковались решения Fortinet, Palo Alto PAN-OS и сервис для обмена файлами Cleo Harmony.
По традиции в данных отчетах эксперты «Лаборатории Касперского» приводят примеры интересных уязвимостей, обнаруженных недавно. В этот раз авторы обратили внимание на проблему ZDI-CAN-25373 (для нее пока отсутствует идентификатор CVE), связанную с неполным отображением данных, указанных в качестве параметров для запуска приложения в .lnk-файлах Windows. В скрытую часть легко можно добавить команды, приводящие к компрометации системы. Была отмечена уязвимость CVE-2025-21333 в драйвере vkrnlintvsp.sys для работы с Hyper-V, которая может приводить к выполнению произвольного кода, и проблема CVE-2025-24071 в Windows, приводящая к утечке NTLM-хешей.
Что еще произошло
Компания GreyNoise сообщает о масштабной атаке на роутеры фирмы Asus. Атака начинается с брутфорса простых паролей для доступа к интерфейсу администратора либо с использования двух уязвимостей, позволяющих обойти механизм аутентификации. Далее с помощью штатных средств маршрутизатора обеспечивается удаленный доступ к роутеру по протоколу SSH. По данным GreyNoise, уязвимости в системе аутентификации уже закрыты производителем в поддерживаемых устройствах, но, если роутер уже был скомпрометирован, даже обновление прошивки не закроет доступ по SSH для злоумышленников — его надо будет отключать вручную. Атака впервые была замечена в марте этого года, а по данным компании Censys, на 30 мая в сети можно было отследить примерно 4500 роутеров с доступом по SSH на нестандартном порте 53282.
Компания Qualcomm закрыла три эксплуатируемых уязвимости в драйверах для графической подсистемы Adreno GPU, используемой во множестве мобильных устройств.
Две критические уязвимости (9 и 10 баллов по шкале CVSS) закрыты в ПО для веб-форумов vBulletin.

Всего за первый квартал 2025 года в базе CVE появились данные о 6616 новых уязвимостях, из которых 227 признаны критическими. Это заметно меньше, чем в первом квартале 2024 года (соответственно, 9727 и 430). В отчете приведена подробная статистика по типам уязвимостей (CWE, Common Weakness Enumeration) для ядра Linux и продуктов Microsoft. В ядре Linux чаще всего исправлялись ошибки, связанные с разыменовыванием нулевого указателя. На втором месте по «популярности» были уязвимости типа Use After Free, на третьем — проблемы, связанные с некорректной обработкой доступа к ресурсу, с которым взаимодействуют несколько процессов.
Для сравнения, в продуктах Microsoft список типов уязвимостей — похожий, но также часто встречаются ошибки переполнения буфера в куче и уязвимости повреждения памяти (Out-of-bounds Write). Авторы отчета отмечают, что часто сталкиваются с примерами, когда механизмы атак «портируются» с Linux на Windows и наоборот.
Статистика наиболее часто эксплуатируемых уязвимостей серьезно различается для конечных пользователей и организаций. «Потребительское» вредоносное ПО по-прежнему нацелено на, мягко говоря, давно известные уязвимости в ПО. В TOP 3 входят уязвимости CVE-2018-0802 и CVE-2017-11882 для компонента Equation Editor в Microsoft Office, а также уязвимость CVE-2017-0199 в Microsoft Office и WordPad. Эти три уязвимости чаще всего эксплуатировались в реальных атаках в течение всего 2024 года. Самая свежая проблема среди часто эксплуатируемых — CVE-2024-35250 в Windows-драйвере ks.sys, закрытая в июне 2024 года. В атаках на системы под управлением Linux чаще всего эксплуатировалась уязвимость CVE-2022-0847, известная как Dirty Pipe.

Примерно половина из часто эксплуатируемых уязвимостей относится к операционной системе, еще 16% — к браузерам. По сравнению с данными годичной давности можно отметить, что разнообразие атакуемого ПО снижается: совокупная доля атак на ОС и браузеры выросла с 43 до 64 процентов. А вот в продвинутых атаках на организации свежеобнаруженные проблемы в ПО используются гораздо чаще. На первом месте в первом квартале 2025 года оказалась уязвимость CVE-2025-0282 в корпоративном VPN-сервисе Ivanti Connect Secure. 5 из 10 наиболее часто атакуемых проблем обнаружены в 2025 и 2024 годах. Помимо продуктов Ivanti, а также привычных Microsoft Office и Exchange часто атаковались решения Fortinet, Palo Alto PAN-OS и сервис для обмена файлами Cleo Harmony.
По традиции в данных отчетах эксперты «Лаборатории Касперского» приводят примеры интересных уязвимостей, обнаруженных недавно. В этот раз авторы обратили внимание на проблему ZDI-CAN-25373 (для нее пока отсутствует идентификатор CVE), связанную с неполным отображением данных, указанных в качестве параметров для запуска приложения в .lnk-файлах Windows. В скрытую часть легко можно добавить команды, приводящие к компрометации системы. Была отмечена уязвимость CVE-2025-21333 в драйвере vkrnlintvsp.sys для работы с Hyper-V, которая может приводить к выполнению произвольного кода, и проблема CVE-2025-24071 в Windows, приводящая к утечке NTLM-хешей.
Что еще произошло
Компания GreyNoise сообщает о масштабной атаке на роутеры фирмы Asus. Атака начинается с брутфорса простых паролей для доступа к интерфейсу администратора либо с использования двух уязвимостей, позволяющих обойти механизм аутентификации. Далее с помощью штатных средств маршрутизатора обеспечивается удаленный доступ к роутеру по протоколу SSH. По данным GreyNoise, уязвимости в системе аутентификации уже закрыты производителем в поддерживаемых устройствах, но, если роутер уже был скомпрометирован, даже обновление прошивки не закроет доступ по SSH для злоумышленников — его надо будет отключать вручную. Атака впервые была замечена в марте этого года, а по данным компании Censys, на 30 мая в сети можно было отследить примерно 4500 роутеров с доступом по SSH на нестандартном порте 53282.
Компания Qualcomm закрыла три эксплуатируемых уязвимости в драйверах для графической подсистемы Adreno GPU, используемой во множестве мобильных устройств.
Две критические уязвимости (9 и 10 баллов по шкале CVSS) закрыты в ПО для веб-форумов vBulletin.