2025年第二季度漏洞态势分析报告

本报告详细分析了2025年第二季度全球漏洞态势,包括漏洞统计、利用趋势、APT攻击中使用的漏洞、流行C2框架以及值得关注的关键漏洞分析,为企业安全防护提供专业建议。

2025年第二季度漏洞态势分析

漏洞注册统计

本节包含已分配CVE ID的统计数据,数据来源于cve.org。

观察过去五年每月注册的CVE数量趋势图显示,注册漏洞数量明显逐年增长。2024年初约注册2,600个漏洞,而2025年1月这一数字超过4,000。除2025年5月外,每个月的上升趋势都很明显。

同时,我们还检查了同期被分配"严重"严重性级别(CVSS > 8.9)的漏洞数量。2025年前两个季度的数据显示,与往年相比显著增加。

漏洞利用统计

本节展示2025年第二季度漏洞利用统计数据,数据来源于公开来源和我们的遥测数据。

Windows和Linux漏洞利用

在2025年第二季度,与之前一样,最常见的漏洞利用针对包含未修补安全漏洞的易受攻击的Microsoft Office产品。

Windows平台上检测到的最多漏洞利用包括:

  • CVE-2018-0802:Equation Editor组件中的远程代码执行漏洞
  • CVE-2017-11882:另一个影响Equation Editor的远程代码执行漏洞
  • CVE-2017-0199:Microsoft Office和WordPad中的漏洞,允许攻击者获得系统控制权

这些漏洞之后是WinRAR中同样流行的问题和Windows操作系统中用于窃取NetNTLM凭据的漏洞利用:

  • CVE-2023-38831:WinRAR中涉及存档内容内文件处理不当的漏洞
  • CVE-2025-24071:Windows文件资源管理器漏洞,允许在打开特定文件类型时检索NetNTLM凭据
  • CVE-2024-35250:ks.sys驱动程序中的漏洞,允许任意代码执行

对于Linux操作系统,最常检测到以下漏洞的利用:

  • CVE-2022-0847(又称Dirty Pipe):允许权限升级的广泛漏洞
  • CVE-2019-13272:由权限继承处理不当引起的漏洞
  • CVE-2021-22555:Netfilter内核子系统中的堆溢出漏洞

最常见的公开漏洞利用

在2025年第二季度,我们观察到按软件类型分布的公开漏洞利用继续延续去年的趋势。针对操作系统漏洞的漏洞利用继续主导我们跟踪的其他软件类型。

在第二季度,没有出现关于Microsoft Office系统新漏洞利用的公开信息。

APT攻击中的漏洞利用

我们分析了2025年第二季度在APT攻击中被利用的漏洞数据。以下排名基于我们的遥测数据、研究和开源数据。

第二季度前十名列表主要来自公开来源中描述的大量事件。它包括在零日攻击中被利用的新安全问题以及已知相当长时间的漏洞。最常被利用的易受攻击软件包括远程访问和文档编辑工具以及日志记录子系统。

C2框架

本节将介绍威胁行为者使用的最流行的C2框架,并分析与APT攻击中与C2代理交互的漏洞利用。

根据公开来源,下图显示了2025年上半年攻击中已知C2框架的使用频率。

四个最常用的框架——Sliver、Metasploit、Havoc和Brute Ratel C4——可以"开箱即用"地与漏洞利用程序配合使用,因为它们的代理提供各种入侵后能力。

在审查公开来源并分析包含漏洞利用的恶意C2代理样本后,我们发现以下漏洞在涉及上述C2框架的APT攻击中被使用:

  • CVE-2025-31324:SAP NetWeaver Visual Composer Metadata Uploader中的漏洞
  • CVE-2024-1709:ConnectWise ScreenConnect 23.9.7中的漏洞
  • CVE-2024-31839:CHAOS v5.0.1远程管理工具中的跨站脚本漏洞
  • CVE-2024-30850:CHAOS v5.0.1中的任意代码执行漏洞
  • CVE-2025-33053:Windows中LNK文件工作目录参数处理不当导致的漏洞

值得关注的漏洞

本节介绍2025年第二季度发布的最值得注意的漏洞。

CVE-2025-32433:Erlang/OTP框架SSH服务器中的漏洞

此远程代码执行漏洞可以被认为相当简单直接。攻击者需要发送命令执行请求,服务器将运行它而不执行任何检查——即使用户未经身份验证。

CVE-2025-6218:WinRAR中的目录遍历漏洞

此漏洞与众所周知的CVE-2023-38831类似:都针对WinRAR,并且可以通过用户与GUI的交互来利用。

CVE-2025-3052:NVRAM中的不安全数据访问漏洞,允许绕过UEFI签名检查

UEFI漏洞几乎总是旨在禁用安全启动协议。研究人员能够找到一组易受攻击的UEFI应用程序,其中位于偏移量0xf7a0的函数使用全局非易失性随机存取存储器变量的内容而不进行验证。

CVE-2025-49113:Roundcube Webmail中的不安全反序列化漏洞

此漏洞突出了一个经典的软件问题:序列化对象的不安全处理。它只能在成功身份验证后被利用,并且利用可能在活动用户会话期间发生。

CVE-2025-1533:AsIO3.sys驱动程序中的堆栈溢出漏洞

此漏洞之所以可利用,是因为内核池参数设计错误。在实现AsIO3.sys驱动程序的访问权限检查时,开发人员错误计算了存储请求访问驱动程序的文件路径所需的内存量。

结论与建议

2025年漏洞数量持续增长。在第二季度,我们观察到新CVE ID注册的积极趋势。为了保护系统,关键是要定期优先修补已知漏洞,并使用能够减轻入侵后损害的软件。

要保护基础设施,必须持续监控其状态,特别是通过确保彻底的外围监控。

应特别关注端点保护。可靠的恶意软件检测和阻止解决方案将确保企业设备的安全。

除了基本保护外,企业基础设施还需要实施灵活有效的系统,允许快速安装安全补丁,以及配置和自动化补丁管理。持续跟踪主动威胁并主动实施加强安全的措施也很重要,包括减轻与漏洞相关的风险。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次