Число атак с эксплуатацией известных уязвимостей выросло более чем на треть

Речь идет о сценариях, где злоумышленники получают первичный доступ не через переписку с сотрудниками и фишинговые страницы, а через уже описанные и часто давно исправленные дефекты в публично доступных сервисах, корпоративных веб-приложениях, VPN-шлюзах и средствах удаленной поддержки. Для атакующих это по-прежнему самый стабильный и масштабируемый путь входа: он лучше автоматизируется, меньше «шумит» на уровне пользователя и нередко позволяет обойтись без вовлечения сотрудников.

Аналитики «Информзащиты» отмечают, что тенденция ускорения напрямую связана с ростом технологической зрелости преступных группировок и увеличением количества доступных эксплойтов, которые распространяются в подпольных сообществах и публичных репозиториях вскоре после раскрытия новой уязвимости. Применение автоматизированных инструментов анализа и эксплуатации позволяет злоумышленникам действовать значительно быстрее, чем большинство компаний способны реагировать. Особенно опасно то, что многие атаки начинаются с уже известных CVE, что снижает порог входа и увеличивает число потенциальных нарушителей. На практике «время до эксплуатации» нередко измеряется днями, а иногда и часами, тогда как корпоративные циклы тестирования и внедрения обновлений часто занимают недели. Дополнительный вклад дает массовая автоматизация: сканирование периметра, проверка версий и попытки эксплуатации все чаще выполняются ботнетами и специализированными фреймворками, которые масштабируют атаки почти без участия оператора.

Отдельный фактор риска связан с тем, что значимая доля инцидентов начинается с уже известных CVE, то есть с уязвимостей, для которых патчи и рекомендации по снижению риска давно доступны. Это снижает порог входа, расширяет круг атакующих и делает одинаково уязвимыми как случайные цели, так и организации, представляющие интерес для целевых групп. В качестве ориентира многие команды ИБ используют внешний контурный мониторинг и сопоставление активов с каталогами известных эксплуатируемых уязвимостей, включая рекомендации регуляторов и профильных агентств, которые регулярно публикуют перечни CVE с подтвержденной эксплуатацией.За последний год в отчетах упоминались такие случаи, как цепочки удаленного выполнения кода в SimpleHelp (CVE-2024-57726/27/28), командные инъекции в BeyondTrust PRA и Remote Support (CVE-2024-12356), SQL-инъекция в Fortinet FortiClient EMS (CVE-2023-48788), некорректная обработка загрузок в продуктах Cleo (CVE-2024-50623) и уязвимость эквивалентности путей Apache Tomcat (CVE-2025-24813). Подобные инциденты часто завершаются получением первоначального доступа к серверу или управляющей консоли, извлечением учетных данных, повышением привилегий и запуском произвольного кода с возможностью дальнейшего перемещения по инфраструктуре. Наиболее чувствительны к этому классу атак пограничные системы и средства удаленного администрирования, поскольку они одновременно критичны для эксплуатации бизнеса и вынужденно доступны из внешней сети.

Статистический анализ показывает, что воздействие подобных атак распределяется неравномерно по отраслям. По оценкам «Информзащиты», наибольший риск фиксируется в финансовом секторе, на который приходится около 34% всех событий, связанных с эксплуатацией уязвимостей, при этом заметную долю дают атаки на внешние порталы, шлюзы удаленного доступа и интеграционные сервисы. Промышленность и энергетика демонстрируют показатели порядка 27%, что объясняется высокой стоимостью данных, высокой критичностью процессов и разнородностью ИТ и OT-контуров, где внедрение обновлений часто ограничено требованиями непрерывности. Сфера электронной коммерции и крупные онлайн-платформы занимают около 22% случаев, поскольку активно используют распределенные ИТ-системы, высоконагруженные сервисы и часто измененяемую микросервисную архитектуру. Оставшиеся приблизительно 17% приходятся на государственные учреждения, образовательные организации и медицинские структуры, где уязвимости нередко задерживаются из-за дефицита ресурсов на сопровождение. Диспропорция обусловлена тем, что первые три сектора традиционно обладают наиболее ценной для злоумышленников бизнес-логикой, а также сложной инфраструктурой, где применение обновлений сопряжено с высокой стоимостью простоев.

Для снижения рисков эксперты рекомендуют компаниям выстраивать комплексный подход к защите, в котором патч-менеджмент остается базой, но не единственным контролем. Наиболее практичный эффект обычно дает сочетание ускоренного обновления для критичных и интернет-доступных систем с компенсирующими мерами на период окна уязвимости: жесткой сегментацией, изоляцией административных интерфейсов, сокращением поверхности атаки за счет отключения неиспользуемых модулей и ограничения доступа к системам удаленного мониторинга и управления. Важную роль играет и детектирование, поскольку часть эксплуатации выглядит как легитимные запросы к веб-приложению или сервису, поэтому поведенческая аналитика, телеметрия EDR и контроль аномалий в журналах приложений помогают заметить атаку уже после первичного проникновения и сократить ущерб. В условиях стремительного роста автоматизации атак именно сочетание проактивного контроля, регулярного мониторинга и мер по усилению ключевых узлов инфраструктуры формирует более устойчивый контур информационной безопасности.