2025年中网络安全漏洞威胁态势研究报告

前言/网络安全漏洞威胁态势研究报告 前言 随着数字化进程的加速与新兴技术的普及，网络安全形势日益严峻。漏洞作为网络攻击的关键切入点，其数量、类型及影响范围的变化对网络安全态势有着决定性影响。本报告基于奇安信 CERT 公众号上半年数据，对 2025 年中漏洞态势进行深入研究，旨在为企业和相关机构提供全面、准确的漏洞信息，助力其制定有效的安全防护策略。 摘要 2025上半年漏洞态势的关键发现： 漏洞数量持续攀升：2025年中新增漏洞23351个，其中高危漏洞占比43.5%，高危漏洞占比扩大且利用窗口期急剧缩短。 漏洞利用速度的指数级提升使传统“修补窗口期”大幅压缩：2025年漏洞利用呈现明显的加速化趋势，攻击者从漏洞披露到武器化部署的周期缩短至历史新低。利用漏洞作为初始攻击手段的案例同比增长34%，占所有入侵事件的20%。漏洞利用已连续五年蝉联最常见的初始感染媒介（占比33%），超越钓鱼攻击成为企业面临的首要威胁。 利用模式产业化升级：漏洞利用的产业化特征在2025年尤为突出，攻击者采用战前储备与战时挖掘双轨并行策略。一方面，APT组织加大0day漏洞的战略储备，另一方面，攻击者利用自动化工具实现漏洞挖掘、武器化、分发利用的全链条协作，形成“漏洞利用即服务”（Exploitation-as-a-Service）的商业模式。 复合攻击链成主流：攻击者更倾向于构建多阶段、多技术的复合攻击链，漏洞利用只是其中一环。攻击往往始于单点漏洞，但通过横向移动、权限提升和持久化控制形成深度渗透。 国产软件漏洞呈上升趋势：218个国产软件漏洞被披露，OA系统和网络设备成为攻击重点目标，暴露了国内软件在安全设计阶段的不足。 2025下半年漏洞发展趋势展望： AI驱动的漏洞挖掘：攻击者利用大模型分析开源代码，漏洞发现效率提升3-5倍。同时，对抗性机器学习被用于生成绕过检测的漏洞利用代码。 量子计算威胁显现：随着量子计算机发展，传统公钥加密算法面临破解风险，抗量子密码迁移需求迫切。 云原生漏洞架构缺陷引爆风险：Kubernetes配置错误、服务网格漏洞和Serverless函数注入将导致容器逃逸事件增长50%。 物联网僵尸网络升级：利用TOTOLink、D-Link等设备漏洞组建的僵尸网络规模可达百万级，DDoS攻击峰值突破5Tbps。 软件供应链攻击常态化：开源库和第三方组件漏洞占比将超60%，类似XZUtils后门事件的影响范围和隐蔽性进一步提升。 目录 5abMe PG DPntents 第一章 2025年中漏洞态势分析 一、漏洞数量统计与趋势二、漏洞类型分布与威胁分析三、漏洞影响厂商与行业分布四、关键漏洞占比情况五、漏洞标签占比情况六、漏洞热度排名TOP 10七、2025年中最危险的CWE类型八、漏洞修复时效性 第二章 重大漏洞案例分析 一、Apache Tomcat 管理面板遭受黑客组织定向暴力攻击二、黑客利用 Windows WebDav 零日漏洞投放恶意软件三、2025年第一个 Chrome 零日漏洞在间谍活动中被利用四、披露闹剧给 CrushFTP 漏洞利用蒙上阴影五、知名前端工具vite接连曝出4个任意文件读取漏洞六、严重“IngressNightmare”漏洞危及 Kubernetes 环境 目录 第三章 关键种类漏洞分析 一、0day漏洞二、在野利用相关漏洞三、APT及勒索软件漏洞四、国产软件相关漏洞五、其它类别关键漏洞 第四章 2025年下半年漏洞新兴技术发展趋势展望 一、AI驱动的漏洞挖掘与利用：攻防智能化升级二、量子计算冲击传统密码：迁移迫在眉睫三、云原生与虚拟化漏洞：架构缺陷引爆风险四、物联网设备漏洞：僵尸网络驱动大规模攻击五、漏洞利用产业化：暗网经济助推攻击规模化六、新兴威胁：供应链与AI泄露风险 第五章 漏洞处置建议 第六章 总结 第七章 奇安信漏洞情报服务订阅 2025年中漏洞态势分析 一、漏洞数量统计与趋势 2025年上半年，网络安全漏洞呈现出数量持续攀升、高危漏洞占比扩大和利用窗口期急剧缩短的三重特征。根据奇安信安全监测与响应中心（又称奇安信CERT）监测数据，新增漏洞23351个，总高危、极危漏洞数量为10154个，占总量的43.5%。仅6月第二周（6月9日-15日）就收录漏洞464个，其中高危漏洞222个（占比47.8%）。这些数字反映出当前网络空间面临的系统性安全风险正在深化，威胁态势依然严峻。 根据奇安信CERT的基于多维度的筛选流程,对其中5498个高潜在威胁漏洞进行了人工研判。奇安信CERT认为本年度值得重点关注的漏洞共683个，达到发布安全风险通告标准的漏洞共179个，并对其中21个漏洞进行深度分析。[1][2][3] 2025上半年漏洞数量呈现稳定增长态势，截至6月，新增漏洞数量达到23351个，较去年同期增长14.0%。这一增长趋势延续了近年来漏洞数量持续上升的态势，反映出随着技术生态的日益复杂，软件和系统中潜藏的安全隐患不断被挖掘出来。 二、漏洞类型分布与威胁分析 代码执行、信息泄露和权限提升依然是攻击者利用的漏洞核心类型，这一点和去年保持一致。 对2025上半年新增的漏洞信息根据漏洞威胁类型进行分类总结，如图1-2所示： 其中漏洞数量占比最高的前三种类型分别为：代码执行、信息泄露、拒绝服务。RCE 漏洞由于其极高的危害性，一直是攻击者重点关注的对象。在 2025 年上半年，多个关键应用系统和中间件被曝出 RCE 漏洞。攻击者可通过构造特定请求，在未授权的情况下远程执行任意代码，获取系统权限。此类漏洞的爆发，凸显了应用系统在输入验证、权限控制等方面存在的薄弱环节。SQL 注入漏洞在上半年依然频发，主要集中在国产OA 系统、企业资源规划（ERP）系统等。据统计，上半年因 SQL 注入漏洞导致的数据泄露事件达40件起，给企业带来了巨大的经济损失和声誉影响。 三、漏洞影响厂商与行业分布 将2025上半年新增的23351个条漏洞信息根据漏洞影响厂商进行分解，如图1-3所示： 其中漏洞数量占比最高的前十家厂商为：Linux、Amazon、Microsoft、WordPress、开放源代码项目、Apple、Adobe、Google、IBM、Oracle。Linux、Microsoft、Apple这些厂商漏洞多发，且因为其有节奏的发布安全补丁，必然成为漏洞处置的关注重点。开源软件和应用在企业中被使用的越来越多，关注度逐渐攀升。部署在网络边界的网络设备在攻防行动中占据了重要地位，因而获得了安全研究员的重点关注。 2025年中新增的漏洞中，有218个在NVD上没有相应的CVE编号，未被国外漏洞库收录，为国产软件漏洞，占比情况如图1-4所示。这些漏洞在OA和网络设备中尤为突出。受影响行业包括：政府机构（APT攻击的首要目标）、金融领域（高危漏洞利用频发）、能源与关键基础设施（攻击者重点关注的领域）。此类漏洞具有较高威胁，如果被海外国家背景攻击组织利用将导致非常严重的安全后果。 四、关键漏洞占比情况 奇安信将0day、APT相关、发现在野利用、存在公开Exploit/PoC，且漏洞关联软件影响面较大的漏洞标记为“关键漏洞”。此类漏洞的技术细节或验证利用代码已在互联网上被公开，或已经发现在野攻击利用，且漏洞关联产品具有较大的影响面，综合来看威胁程度相对较高，需要重点关注。 2025年中奇安信CERT共标记关键漏洞182个，占2025上半年新增漏洞的0.78%；存在公开Exploit/PoC漏洞数量为407个，占2025上半年新增漏洞的1.74%；发现已有在野利用漏洞数量为86个，占2025上半年新增漏洞的0.36%；0day漏洞数量为7个，占2025上半年新增漏洞的0.03%；APT相关漏洞数量为1个，占2025上半年新增漏洞的0.01%。上述各类漏洞在2025年中新增漏洞中占比情况如图1-5所示： 五、漏洞标签占比情况 为了更加有效的管控漏洞导致的风险，奇安信漏洞情报建立了全面的多维漏洞信息整合及属性标定机制，使用“关键漏洞”、“在野利用”、“POC公开”、“影响量级”、“Botnet类型”、“攻击者名称”、“漏洞别名”等标签，标定漏洞相关的应用系统部署量、是否已经有了公开的技术细节、Exploit工具、概念验证代码（PoC）、是否已经出现野外利用、是否已经被已知的漏洞利用攻击包或大型的Botnet集成作为获取对系统控制途径等属性。涵盖的漏洞标签类别如图1-6所示： 六、漏洞热度排名TOP 10 根据奇安信CERT全面的漏洞信息监测数据，总结2025上半年漏洞舆论热度榜TOP 10漏洞如下： 在上半年总热度舆论榜前十的漏洞中，热度最高的漏洞为Apache Tomcat 远程代码执行漏洞(CVE-2025-24813)。当应用程序DefaultServlet启用写入功能（默认情况下禁用）、使用 Tomcat默认会话持久机制和存储位置、依赖库存在反序列化利用链时，未授权攻击者能够执行恶意代码获取服务器权限。鉴于该漏洞影响范围较大，建议受影响用户升级至Apache Tomcat v11.0.3、v10.1.35、v9.0.99。 七、2025年中最危险的CWE类型 CWE 是代码、设计或架构中可能导致漏洞的常见软件弱点或缺陷的列表，它们本身列在常见漏洞和披露（CVE）数据库中。某些漏洞通常很容易找到并加以利用，攻击者通过这些漏洞能够窃取数据、完全接管系统或阻止应用程序运行。CWE 是这些漏洞的根本原因。 为了定义软件弱点的严重性级别，2025上半年，奇安信CERT汇集本年度9880个高危、极危漏洞，从中总结出最危险 CWE 列表供参考。2025年中最危险CWE排行如图1-7所示，该排名不仅为开发人员和安全专业人员提供了可靠信息，还为企业和公司提供了安全战略指南。 在9880个高危、极危漏洞中，SQL 注入，也称为“SQL命令中使用的特殊元素转义处理不恰当”（CWE-89）占据首位，有1502个漏洞，占总数的15.20%。SQL 注入在2025年上半年仍然是一种重要且具有严重威胁的网络安全问题。 跨站脚本，也称为“在Web页面生成时对输入的转义处理不恰当”（CWE-79）位居第二，有1040个漏洞，在2025年中占据核心地位，其重要性主要体现在攻击范围广泛性、与其他高危漏洞的连锁效应、防护难度等方面，占总数的10.53%。 第三名是跨站请求伪造（CWE-352），有532个漏洞，占总数的5.38%。 建议查看此列表并通过它获悉软件安全策略。在开发和采购流程中优先考虑这些弱点有助于防止软件生命周期核心的漏洞。 八、漏洞修复时效性 2025上半年漏洞平均修复时间：39.6天，较2024年缩短12%。零日漏洞修复不足：7个零日漏洞中40%修复时间超过20天，部分漏洞已在披露前被利用。披露与利用时间差：公开后3天内被利用的漏洞占50%。值得注意的是，2025上半年新增漏洞中，有23351个漏洞存在CVE编号，其中有23121个存在CVE的漏洞，在NVD（National Vulnerability Database，美国国家漏洞数据库）收录前已被奇安信CERT通过第一手信息源的监控发现并收录，占本年度存在CVE漏洞总数的27.7%，且漏洞平均定级速度快于NVD约52.1%。这些漏洞通过奇安信CERT多源汇聚技术，在厂商发布安全通告的第一时间即可捕获漏洞信息，由分析人员研判入库。快于NVD占比如图1-8、图1-9所示： 漏洞发现的时效性在网络安全领域至关重要，它直接影响到组织和个人的数据安全、业务连续性和声誉。漏洞发现得越早，攻击者利用该漏洞进行攻击的时间窗口就越小。及时的漏洞发现可以减少攻击者利用漏洞的机会。一旦确认资产存在相关的漏洞，组织可以迅速采取行动，如打补丁、更新系统或采取临时的缓解措施，以阻止潜在的攻击。及时修复漏洞可以减少数据泄露、服务中断和其他安全事件造成的损害，从而降低相关的财务