32% of exploited vulnerabilities are now zero-days or 1-days

威胁态势升级：漏洞利用窗口持续缩短

根据漏洞情报公司VulnCheck的最新报告，2025年攻击者利用的漏洞中有三分之一属于零日（zero-day）或一日（1-day）漏洞。这意味着企业的补丁窗口不断缩短，防御方必须加强漏洞利用检测与监控能力，并确保及时部署关键补丁。

VulnCheck研究人员在报告中指出：“我们发现，在CVE发布当天或之前就存在利用证据的已知被利用漏洞（KEV）比例上升了8.5%——2025年上半年达到32.1%，而2024年该数字为23.6%。”

漏洞监控数据揭示严峻现实

2025年上半年，VulnCheck在其KEV数据库中新增了432个独特漏洞（CVE），数量超过美国网络安全和基础设施安全局（CISA）同期KEV目录新增132个CVE的三倍。VulnCheck采用比CISA更广泛的监控方法，从500多个来源获取漏洞信息和利用证据，包括GreyNoise和Shadowserver Foundation等蜜罐服务。

例如，6月份对Shadowserver数据的审计显示，超过32个新漏洞存在利用证据，但这些漏洞尚未获得MITRE分配的CVE编号（这是纳入CISA KEV目录的前提条件）。此外，2025年检测到的KEV中，有三分之一尽管已获得CVE编号，仍等待美国国家标准与技术研究院（NIST）分析并纳入国家漏洞数据库（NVD）。而本应提供CVE详细信息和背景的NVD正面临严重的积压问题。

主要受影响目标分析

内容管理系统与网络边缘设备最受青睐

2025年上半年，内容管理系统（CMS）的KEV数量最高，达86个，其中大量源于WordPress插件。网络边缘设备以77个KEV位列第二，包括网络安全设备、路由器、防火墙和VPN网关——这些设备在过去几年中日益成为攻击目标，尤其是受到国家支持的网络间谍组织青睐。

服务器软件（61个KEV）、开源软件（55个）和操作系统（38个）位列最受关注目标前五，硬件设备（包括摄像头系统、DVR、NVR、IP电话和其他嵌入式设备）排名第六。VulnCheck指出，硬件设备类别中的许多漏洞来自Shadowserver收集的攻击数据，这凸显了将这些设备直接暴露在互联网上绝非明智之举。

厂商维度：微软最受攻击者关注

按厂商统计，微软是最主要目标，拥有32个KEV，其中26个针对Windows系统。思科（10个）紧随其后，苹果、Totolink和VMware各有6个KEV。值得注意的是，并非所有新KEV都是新漏洞：虽然三分之一是零日或一日漏洞，但许多是2025年才开始被利用的旧漏洞，因此登上了新的KEV名单。

此外，2025年披露的一些零日漏洞的利用证据可追溯至2024年，但此前未被察觉。在181个被已知威胁行为者（行业以不同别名知晓和追踪的组织）利用的独特CVE中，有147个属于这种情况。

地缘政治背景下的威胁活动变化

俄罗斯与伊朗威胁活动上升

安全行业仅将部分新发现的漏洞利用归因于已知攻击者组织，而这些组织中只有部分有已知来源国，因此攻击来源统计数据并不完美。

2025年上半年，VulnCheck添加到KEV数据库的181个CVE被行业报告归因于92个已知威胁行为者。这些组织中，只有56个有明确的来源国归属。

VulnCheck研究人员总结道：“如果按归属国查看威胁行为者，我们会很快发现常见的嫌疑对象——中国（20）、俄罗斯（11）、朝鲜（9）和伊朗（6）——拥有最多活跃威胁行为者组织。这些国家以其网络间谍和网络活动闻名，常被称为’四骑士’。”

尽管中国在利用KEV的单个组织数量上仍领先，但根据VulnCheck的数据，其2025年累计KEV归因较2024年有所下降。与此同时，俄罗斯组织的活动有所增加。虽然朝鲜的KEV归因也比去年下降，但伊朗的归因有所上升。不过，这些变化可能受到行业报告发布时间的影响。

例如，2025年伊朗归因的增加似乎与安全公司Tenable 6月份的报告有关，该报告将29个KEV归因于伊朗威胁行为者。同样，2024年朝鲜KEV归因的激增可能与美、英、韩政府机构联合发布的报告有关，该报告将44个新KEV归因于朝鲜国家支持的组织（追踪为Silent Chollima或Andariel）。

VulnCheck表示：“俄罗斯归因的激增与特定报告无关，归因广泛分布在多个来源中，这再次强调俄罗斯仍然是威胁活动和漏洞利用的主要力量。”