2025年第二季度漏洞态势分析报告

本报告详细分析了2025年第二季度全球漏洞态势,涵盖Windows和Linux系统漏洞利用统计、APT攻击中常见漏洞、C2框架使用情况,并深入解析了多个重要安全漏洞的技术细节和影响范围。

漏洞注册统计

本节包含已分配CVE ID的统计数据,数据来源于cve.org。

观察过去五年每月注册的CVE数量变化,可见漏洞注册数量呈现明显的逐年增长趋势。例如,2024年初每月注册约2600个漏洞,而2025年1月这一数字已超过4000。值得注意的是,注册库可能包含前几年标识的漏洞。

同时期被分配"严重"级别(CVSS > 8.9)的漏洞数量在2025年前两个季度也显著增加。虽然部分安全问题未被分配CVSS分数,但严重漏洞正获得更详细的描述和发布。

漏洞利用统计

Windows和Linux漏洞利用

在2025年第二季度,最常见的漏洞利用仍针对未打补丁的Microsoft Office产品:

  • CVE-2018-0802:Equation Editor组件中的远程代码执行漏洞
  • CVE-2017-11882:同样影响Equation Editor的远程代码执行漏洞
  • CVE-2017-0199:Microsoft Office和WordPad中的漏洞,允许攻击者获得系统控制权

其次是WinRAR和Windows操作系统中的NetNTLM凭据窃取漏洞:

  • CVE-2023-38831:WinRAR中涉及归档内容文件处理不当的漏洞
  • CVE-2025-24071:Windows文件资源管理器漏洞,可在打开特定文件类型时获取NetNTLM凭据
  • CVE-2024-35250:ks.sys驱动程序中允许任意代码执行的漏洞

对于Linux操作系统,最常检测到的漏洞利用包括:

  • CVE-2022-0847(Dirty Pipe):允许权限提升的广泛漏洞
  • CVE-2019-13272:权限继承处理不当导致的漏洞
  • CVE-2021-22555:Netfilter内核子系统中的堆溢出漏洞

最常见公开漏洞利用

2025年第二季度,针对操作系统漏洞的公开漏洞利用继续主导其他软件类型。本季度没有出现关于Microsoft Office系统新漏洞利用的公开信息。

APT攻击中的漏洞利用

分析2025年第二季度APT攻击中利用的漏洞,TOP 10列表包含新的零日攻击安全问题和使用已久的安全漏洞。最常被利用的易受攻击软件包括远程访问和文档编辑工具,以及日志记录子系统。

有趣的是,低代码/无代码开发工具位居榜首,创建AI驱动应用程序的框架中的漏洞也进入TOP 10。这表明软件开发技术的演进正吸引攻击者利用这些新流行工具中的漏洞。

C2框架

2025年上半年攻击中最常使用的C2框架包括:

  • Sliver
  • Metasploit
  • Havoc
  • Brute Ratel C4

这些框架中与漏洞利用配合使用的安全漏洞包括:

  • CVE-2025-31324:SAP NetWeaver Visual Composer元数据上传器中的远程代码执行漏洞
  • CVE-2024-1709:ConnectWise ScreenConnect中的身份验证绕过漏洞
  • CVE-2024-31839:CHAOS远程管理工具中的跨站脚本漏洞
  • CVE-2024-30850:CHAOS中的任意代码执行漏洞
  • CVE-2025-33053:Windows中LNK文件工作目录参数处理不当导致的远程代码执行漏洞

值得关注的漏洞

CVE-2025-32433:Erlang/OTP框架SSH服务器漏洞

此远程代码执行漏洞相当直接。攻击者只需发送命令执行请求,服务器就会运行它而不执行任何检查——即使用户未经身份验证。

CVE-2025-6218:WinRAR目录遍历漏洞

此漏洞与著名的CVE-2023-38831类似,都针对WinRAR并通过用户与GUI的交互进行利用。通过使用特定特殊字符组合,归档提取可以绕过安全机制在工作目录外进行。

CVE-2025-3052:NVRAM不安全数据访问漏洞

研究人员发现一组易受攻击的UEFI应用程序,其中偏移量0xf7a0处的函数未经验证使用全局NVRAM变量内容。易受攻击的函数错误处理并可修改变量中指定的数据,允许攻击者覆盖安全启动设置并将任何模块加载到系统中。

CVE-2025-49113:Roundcube Webmail不安全反序列化漏洞

此漏洞凸显了经典软件问题:序列化对象的不安全处理。攻击只能在成功身份验证后利用,在活动用户会话期间进行。攻击者首先需要获取合法账户,然后使用它访问易受攻击的代码。

CVE-2025-1533:AsIO3.sys驱动程序栈溢出漏洞

此漏洞可利用是因为内核池参数设计错误。在实现AsIO3.sys驱动程序的访问权限检查时,开发人员错误计算了存储请求访问驱动程序的文件路径所需的内存量。如果创建超过256个字符的路径,系统将崩溃出现"蓝屏"。

结论与建议

2025年漏洞数量继续增长。在第二季度,我们观察到新CVE ID注册的积极趋势。为保护系统,关键要定期优先修补已知漏洞,并使用能够减轻利用后损害的软件。

保护基础设施需要持续监控其状态,特别是确保彻底的边界监控。应特别关注端点保护,可靠的恶意软件检测和阻止解决方案将确保企业设备安全。

除基本保护外,企业基础设施需要实施灵活有效的系统,允许快速安装安全补丁,以及配置和自动化补丁管理。持续跟踪主动威胁并主动实施加强安全的措施也很重要,包括减轻与漏洞相关的风险。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次