Эксплойты и уязвимости в четвертом квартале 2025 года

Четвертый квартал 2025 года стал одним из самых насыщенных по количеству публикаций громких критических уязвимостей, которые были обнаружены в популярных библиотеках и приложениях. Некоторые из этих уязвимостей сразу стали активно использоваться злоумышленниками.

В этом отчете мы рассмотрим статистику по опубликованным уязвимостям и эксплойтам, а также известные уязвимости, использованные с популярными С2-фреймворками за четвертый квартал 2025 года.

Статистика по зарегистрированным уязвимостям

Этот раздел содержит статистику по зарегистрированным уязвимостям. Данные взяты с портала cve.org.

Рассмотрим количество зарегистрированных CVE за каждый месяц на протяжении последних 5 лет до конца 2025 года включительно. Как мы и предсказывали в прошлом отчете, в четвертом квартале было зарегистрировано больше уязвимостей, чем за аналогичный период 2024 года, и общегодовые показатели также превысили суммарные результаты предыдущего года.

Общее количество опубликованных уязвимостей за каждый месяц с 2021 по 2025 год (скачать)

Теперь изучим количество новых критических уязвимостей (CVSS > 8,9) за тот же период.

Общее количество критических опубликованных уязвимостей за каждый месяц с 2021 по 2025 год (скачать)

График показывает, что количество критических уязвимостей остается достаточно внушительным, однако во второй половине года произошло сокращение их числа до показателей 2023 года. На это повлияла ротация уязвимостей: часть опубликованных проблем безопасности была отозвана. Кроме того, на количество новых критических уязвимостей повлияло повсеместное внедрение безопасных практик разработки и использования более безопасных языков программирования, хотя это не смогло решить проблему общего количества уязвимостей.

Статистика по эксплуатации уязвимостей

Раздел содержит статистику по использованию эксплойтов за четвертый квартал 2025 года. Данные получены на основании открытых источников и нашей телеметрии.

Эксплуатация уязвимостей в Windows и Linux

В четвертом квартале 2025 года самыми распространенными оказались эксплойты к тем же уязвимостям, которые использовались в атаках чаще всего на протяжении остального года. Это эксплойты в продуктах Microsoft Office с неисправленными проблемами безопасности.

Решения «Лаборатории Касперского» обнаружили больше всего эксплойтов на платформе Windows к следующим уязвимостям:

• CVE-2018-0802 — уязвимость удаленного выполнения кода в компоненте Equation Editor;
• CVE-2017-11882 — еще одна уязвимость удаленного выполнения кода, также затрагивающая Equation Editor;
• CVE-2017-0199 — уязвимость в Microsoft Office и WordPad, позволяющая атакующему захватить контроль над системой.

Этот список остается неизменным на протяжении нескольких лет.

Мы также видим, что злоумышленники продолжают адаптировать эксплойты к уязвимостям обхода каталога (CWE-35) при распаковке архивов в WinRAR. Они активно используются для получения первоначального доступа через вредоносные архивы в операционной системе Windows:

• CVE-2023-38831 — уязвимость, которая заключается в некорректной обработке объектов, содержащихся в архиве;
• CVE-2025-6218 (ранее ZDI-CAN-27198) — уязвимость, которая позволяет указать относительный путь и произвести распаковку файлов в произвольную директорию. Это может привести к выполнению вредоносных команд. Подробнее об этой уязвимости мы рассказывали в отчете за второй квартал 2025 года;
• CVE-2025-8088 — уязвимость, которую мы разбирали в предыдущем отчете, аналогичная CVE-2025-6218. В качестве механизма обхода контроля директории, в которую распаковываются файлы, злоумышленники использовали механизм NTFS Streams.

Как и в предыдущем квартале, мы отмечаем рост использования эксплойтов для архиваторов, причем чаще всего в атаках задействуются свежие уязвимости.

Ниже представлена динамика детектирования эксплойтов в системах пользователей Windows за последние два года.

Динамика числа пользователей Windows, столкнувшихся с эксплойтами, Q1 2024 — Q4 2025. За 100% принято число пользователей, столкнувшихся с эксплойтами в Q1 2024 (скачать)

Перечисленные уязвимости могут быть использованы для получения первоначального доступа к уязвимой системе. Это подчеркивает важность своевременной установки обновлений для соответствующего программного обеспечения.

На устройствах под управлением Linux чаще всего детектировались эксплойты к следующим уязвимостям:

• CVE-2022-0847 — уязвимость, известная как Dirty Pipe, которая позволяет повышать привилегии и перехватывать управление запущенными приложениями;
• CVE-2019-13272 — уязвимость некорректной обработки наследования привилегий, которая может быть использована для их повышения;
• CVE-2021-22555 — уязвимость переполнения кучи в подсистеме ядра Netfilter;
• CVE-2023-32233 — еще одна уязвимость в подсистеме Netfilter, которая позволяет создать условия для Use-After-Free и повысить привилегии за счет некорректной обработки сетевых запросов.

Динамика числа пользователей Linux, столкнувшихся с эксплойтами, Q1 2024 — Q4 2025. За 100% принято число пользователей, столкнувшихся с эксплойтами в Q1 2024 (скачать)

Мы отмечаем бурный рост количества атак с эксплойтами для Linux: в четвертом квартале с ними столкнулось в два раза больше пользователей, чем в третьем. Наша статистика демонстрирует, что на последний квартал года пришлось более половины всех атак с эксплойтами для Linux от суммарных годовых показателей. В первую очередь причиной такого всплеска стало быстрорастущее количество пользовательских устройств под управлением Linux. Отметим, что это закономерно привлекает внимание злоумышленников, в связи с чем установка патчей безопасности является критически важной.

Самые распространенные опубликованные эксплойты

Распределение опубликованных эксплойтов по типам программного обеспечения в четвертом квартале 2025 года во многом повторяет картину предыдущего квартала. Наибольшее количество эксплойтов, которые мы исследуем в рамках мониторинга публичных исследований, новостей и PoC, по-прежнему относится к уязвимостям в операционных системах.

Распределение опубликованных эксплойтов к уязвимостям по платформам, Q1 2025 (скачать)

Распределение опубликованных эксплойтов к уязвимостям по платформам, Q2 2025 (скачать)

Распределение опубликованных эксплойтов к уязвимостям по платформам, Q3 2025 (скачать)

Распределение опубликованных эксплойтов к уязвимостям по платформам, Q4 2025 (скачать)

В четвертом квартале 2025 года публичных эксплойтов для продуктов Microsoft Office не появлялось, но были обнаружены проблемы с системными компонентами, которые составляют основную часть уязвимостей. При подсчете статистики мы поместили их в категорию «ОС».

Использование уязвимостей в APT-атаках

Мы проанализировали, какие уязвимости использовались в APT-атаках в четвертом квартале 2025 года. Представленный ниже рейтинг включает данные на основе нашей телеметрии, исследований и открытых источников.

ТОР 10 уязвимостей, эксплуатируемых в APT-атаках, Q4 2025 (скачать)

В четвертом квартале 2025 года в APT-атаках чаще всего эксплуатировались свежие уязвимости, опубликованные на протяжении последних шести месяцев. Мы считаем, что эти CVE надолго станут фаворитами злоумышленников, так как для их исправления могут требоваться серьезные структурные изменения в уязвимых приложениях или пользовательской системе. Зачастую для замены или обновления затронутых компонентов необходимо значительное количество ресурсов, а следовательно, вероятность атаки через такие уязвимости может сохраняться продолжительное время. Некоторые новые уязвимости, скорее всего, станут частым инструментом для развития атак внутри инфраструктуры пользователей, так как проблемы безопасности были обнаружены в сетевых службах, доступных без аутентификации. Такая активная эксплуатация совсем недавно зарегистрированных уязвимостей говорит о возможности злоумышленников оперативно применять новые техники и адаптировать старые в атаках. Поэтому мы настоятельно рекомендуем использовать исправления безопасности, предоставленные вендорами.

C2-фреймворки

В этом разделе мы рассмотрим самые популярные C2-фреймворки, используемые злоумышленниками, и проанализируем уязвимости, эксплойты к которым взаимодействовали с C2-агентами в APT-атаках.

На графике ниже показана частота известных случаев использования С2-фреймворков в атаках на пользователей за четвертый квартал 2025 года, согласно открытым источникам.

ТОР 10 C2-фреймворков, используемых APT для компрометации систем пользователей, Q4 2025 (скачать)

Первое место в списке самых распространенных C2-фреймворков по-прежнему занимает Sliver, несмотря на большое количество следов, которое он может оставлять при использовании в стандартной конфигурации. На втором и третьем месте расположились инструменты Mythic и Havoc соответственно. Мы изучили открытые источники, проанализировали образцы вредоносных С2-агентов, содержащие эксплойты, и выяснили, что в APT-атаках с указанными выше С2-фреймворками использовались следующие уязвимости:

• CVE-2025-55182 — уязвимость React2Shell в React Server Components, позволяющая неавторизованному пользователю отправлять команды напрямую на сервер и выполнять их из оперативной памяти;
• CVE-2023-36884 — уязвимость в компоненте Поиск Windows, которая позволяет запускать команды в системе в обход механизмов защиты, встроенных в приложения Microsoft Office;
• CVE-2025-53770 — уязвимость небезопасной десериализации в Microsoft SharePoint, которая позволяет выполнять команды на сервере без аутентификации;
• CVE-2020-1472 — уязвимость, известная как Zerologon, позволяющая скомпрометировать уязвимый контроллер домена и выполнять команды с правами привилегированного пользователя;
• CVE-2021-34527 — уязвимость, известная как PrintNightmare, использующая недостатки подсистемы работы с принтерами ОС Windows, которая позволяет удаленно получать доступ к уязвимой ОС и выполнять в ней команды с высокими привилегиями;
• CVE-2025-8088 и CVE-2025-6218 — схожие уязвимости обхода каталога, которые позволяют распаковать файлы из архива по заранее заданному пути, при этом архиватор может не выдавать пользователю никаких сообщений.

Описанный набор уязвимостей позволяет определить, что злоумышленники использовали их для начала атаки и первоначальных действий в уязвимых системах, создавая условия для запуска C2-агента. Среди уязвимостей есть как зиродеи, так и достаточно известные проблемы безопасности.

Интересные уязвимости

Этот раздел содержит наиболее интересные уязвимости, которые были опубликованы в четвертом квартале 2025 года и имеют общедоступное описание.

React2Shell (CVE-2025-55182) — уязвимость в React Server Components

Обычно мы описываем уязвимости, которые, как правило, затрагивают конкретное приложение. Уязвимость CVE-2025-55182 стала исключением, поскольку она была обнаружена в библиотеке React для создания веб-приложений. Это означает, что эксплуатация уязвимости потенциально может нарушить работу большого количества приложений, которые используют библиотеку. Сама уязвимость находится в механизме взаимодействия клиентской и серверной частей, которое построено на отправке сериализованных объектов. Если злоумышленник отправит сериализованные данные с вредоносной функциональностью, то сможет выполнять команды на языке JavaScript прямо на сервере без валидации запроса со стороны клиента. Технические подробности об этой уязвимости и пример детектирования решениями «Лаборатории Касперского» можно найти в нашей статье.

CVE-2025-54100 — инъекция команд при выполнении команды curl (Invoke-WebRequest)

Уязвимость, которая представляет собой проблему некорректной обработки данных при их получении с удаленного сервера: при выполнении команды curl или Invoke-WebRequest Windows в фоне запускает Internet Explorer. Это может привести к атаке типа межсайтового скриптинга (XSS).

CVE-2025-11001 — уязвимость в 7-Zip

Эта уязвимость подкрепляет тренд на эксплуатацию проблем безопасности, найденных в архиваторах. Суть CVE-2025-11001 заключается в некорректной обработке символических ссылок. Злоумышленник может создать архив таким образом, что при его распаковке в произвольной директории содержимое архива окажется там, куда ведет символическая ссылка. Вероятность эксплуатации этой уязвимости сильно понижается, так как для использования подобной функциональности необходимо, чтобы пользователь, открывающий архив, обладал правами администратора системы.

С этой уязвимостью связана волна ошибочных новостей о применении в реальных атаках на системы пользователей: заблуждение возникло из-за ошибки в бюллетене безопасности.

RediShell (CVE-2025-49844) — уязвимость в Redis

2025 год был богат на громкие уязвимости, получившие индивидуальное наименование. Такой стала и CVE-2025-49844, также называемая RediShell, которая была раскрыта в ходе соревнований. Эта уязвимость является проблемой Use-After-Free, которая связана с работой команды load в скриптах интерпретатора Lua. Для реализации атаки злоумышленнику достаточно подготовить вредоносный скрипт и загрузить его в интерпретатор.

Как и любая именная уязвимость, RediShell была сразу же взята на вооружение злоумышленниками и спамерами, но в несколько нестандартном ключе. Так как изначально в Сети были опубликованы неполные данные о сути уязвимости, интернет наводнили поддельные PoC и сканеры, якобы предлагающие выполнить проверку на возможность эксплуатации. Однако в лучшем случае такие «сканеры» ничего не делали, а в худшем — инфицировали систему. Что примечательно, подобные проекты чаще всего были сгенерированы и оформлены при помощи LLM. Они использовали однотипный шаблон и в качестве исходного кода цитировали другие аналогичные поддельные источники.

CVE-2025-24990 — уязвимость в драйвере ltmdm64.sys

Нередко уязвимости в драйверах публикуются к легитимным сторонним приложениям из официальной поставки ОС, которые были написаны разработчиками достаточно давно. Так, уязвимость CVE-2025-24990 существовала в поставке Microsoft почти всю историю развития ОС Windows. Уязвимый драйвер поставлялся в составе ОС, начиная как минимум с Windows 7, в качестве стороннего драйвера для работы с Agere Modem. По сообщениям самой Microsoft, этот драйвер не поддерживается и после выявления уязвимости был просто исключен из поставки.

Уязвимость достаточно простая — небезопасная обработка кодов IOCTL и последующее разыменование нулевого указателя (Null Pointer Dereference). Последствиями эксплуатации могут стать выполнение вредоносных команд или, например, появление «синего экрана смерти» (BSOD) в современных системах.

CVE-2025-59287 — уязвимость в службах Windows Server Update Services (WSUS)

CVE-2025-59287 представляет собой наиболее простой вариант небезопасной десериализации. Эксплуатация возможна без аутентификации; из-за простоты использования эта уязвимость достаточно быстро приобрела популярность у злоумышленников. О технических подробностях и способах обнаружения нашими продуктами мы уже рассказывали ранее.

Выводы и рекомендации

В четвертом квартале 2025 года тренды регистрации уязвимостей продолжают сохранять темп, поэтому их мониторинг и своевременное применение патчей становятся все более важными задачами. Для обеспечения стабильной защиты критически важно регулярно оценивать и устранять известные уязвимости, а также внедрять технологии, способные снизить последствия их возможной эксплуатации.

Постоянный мониторинг состояния инфраструктуры, включая периметр, позволяет оперативно выявлять угрозы и предотвращать их развитие. Эффективная защита также предполагает отслеживание актуальных угроз и применение проактивных мер для минимизации рисков, связанных с недостатками в системах. Инструмент Kaspersky Symphony выступает в качестве надежного партнера в этом процессе, обеспечивая оперативное выявление и детализацию уязвимостей в инфраструктуре.

Безопасность рабочих мест остается приоритетным направлением: защита корпоративных устройств требует внедрения решений, способных блокировать вредоносные программы и предотвращать их распространение. Помимо базовых мер, компаниям следует внедрять адаптивные системы, позволяющие быстро применять обновления безопасности и автоматизировать управление патчами.