آسیبپذیریها در سال ۲۰۲۵ مثل علف هرز رشد کردند، اما طبق گزارش جدید شرکت VulnCheck، تنها ۱٪ از بیش از ۴۰ هزار آسیبپذیری منتشرشده، یعنی فقط ۴۲۲ مورد، واقعاً در حملات دنیای واقعی مورد سوءاستفاده قرار گرفتند.
Caitlin Condon، معاون تحقیقات امنیتی VulnCheck، اعلام کرد بسیاری از مدافعان و پژوهشگران امنیتی وقت خود را صرف نقصها و مفاهیم اکسپلویت تأییدنشدهای میکنند که عملاً ارزش عملیاتی ندارند. به گفته او، رشد حجم CVEها به شکل غیرمنطقی بالا رفته و در نتیجه، تیمهای دفاعی دیگر نمیدانند روی چه چیزی باید تمرکز کنند. همچنین امتیازدهی CVSS دیگر معیار قابل اتکایی برای اولویتبندی مدیریت آسیبپذیریها نیست.
با افزایش سیل آسیبپذیریها در هر سال، برخی مدافعان به سمت تمرکز بر Known Exploited Vulnerabilities رفتهاند تا دامنه کار خود را محدود کرده و روی ریسکهای تأییدشده تمرکز کنند. Condon تأکید کرد شاخصهای ریسک که قبلاً تا حدی قابل اعتماد بودند، اکنون دیگر اعتبار سابق را ندارند.
بخش قابل توجهی از آسیبپذیریهای مورد سوءاستفاده مربوط به فناوریهایی است که توسط فروشندگان بزرگ و دارای سهم بازار بالا توسعه یافتهاند. برخی از این شرکتها بهطور مداوم در لیست اهداف اصلی مهاجمان قرار دارند. بهویژه تجهیزات network edge سالهاست که نقطه ورود ترجیحی مهاجمان محسوب میشوند.
طبق گزارش VulnCheck، از میان ۶۷۲ محصولی که در سال گذشته تحت تأثیر آسیبپذیریهای شناختهشده و مورد سوءاستفاده قرار گرفتند، ۱۹۱ مورد مربوط به تجهیزات network edge بودهاند؛ یعنی ۲۸٪ از فناوریهای هدفگرفتهشده در سال ۲۰۲۵. این تجهیزات به دلیل قرارگیری در مرز شبکه و داشتن دسترسی سطح بالا برای ارتباطات امن، بهطور طبیعی هدفی جذاب برای مهاجمان هستند.
این مشکل زمانی تشدید میشود که بسیاری از این دستگاههای شبکه روی codebaseهایی اجرا میشوند که حدود یک دهه تغییر اساسی نکردهاند. در مقابل، مهاجمان نسخههایی از همین نرمافزارها را در اختیار دارند و با استفاده از pipelineهای تحلیل خودکار، بهسرعت آسیبپذیریهای جدید را شناسایی میکنند. به گفته Condon، مهاجمان در حال حاضر سازمانیافتهتر از مدافعان عمل میکنند و تیمهای دفاعی باید فرض کنند هر لحظه ممکن است یک zero-day جدید در تجهیزات network edge ظاهر شود و وصلهها نیز خیلی سریع reverse engineering شوند.
در میان ۵۰ آسیبپذیری برتر گزارششده، هرکدام حداقل ۲۰ اکسپلویت عمومی فعال داشتهاند، توسط حداقل دو گروه تهدید دولتی یا سایبری مورد استفاده قرار گرفتهاند، با حداقل یک نمونه ransomware مرتبط بودهاند و در حداقل دو فعالیت botnet مشاهده شدهاند.
چهار مورد از ۱۰ آسیبپذیری پرتکرار سال گذشته شامل CVE-2025-53770 و CVE-2025-53771 (واریانتهایی از CVE-2025-49706 و CVE-2025-49704) در Microsoft SharePoint بودند. این چهار zero-day بهصورت گسترده مورد سوءاستفاده قرار گرفتند و در ابتدا بیش از ۴۰۰ سازمان از جمله وزارت انرژی، وزارت امنیت داخلی و وزارت بهداشت و خدمات انسانی آمریکا را آلوده کردند. VulnCheck مجموعاً ۶۹ اکسپلویت شناختهشده برای این چهار آسیبپذیری SharePoint تأیید کرد. این موارد به ۲۹ گروه تهدید و ۱۸ خانواده ransomware نسبت داده شدند، اگرچه احتمال همپوشانی در اهداف وجود دارد.
در فهرست فروشندگان، Microsoft با ۹ مورد از ۵۰ آسیبپذیری پرتکرار در رتبه اول قرار گرفت. Ivanti با ۵ مورد (۱۰٪)، Fortinet با ۴ مورد، VMware با ۳ مورد و SonicWall و Oracle هرکدام با ۲ مورد در رتبههای بعدی قرار داشتند.
پرتکرارترین آسیبپذیری سال ۲۰۲۵ مربوط به React2Shell بود؛ یک نقص با حداکثر شدت در React Server Components که کمتر از یک ماه پس از افشای عمومی توسط Meta و React، توانست ۲۳۶ اکسپلویت عمومی معتبر ثبت کند. بیش از ۲۰۰ مورد از این اکسپلویتها تا اواسط دسامبر توسط VulnCheck تأیید شدند و Palo Alto Networks Unit 42 اعلام کرد بیش از ۶۰ سازمان در موج اولیه حملات آسیب دیدند.
نتیجهگیری گزارش VulnCheck این است که مشکل صرفاً مربوط به یک فروشنده یا فناوری خاص نیست، بلکه کل اکوسیستم فناوری دچار ضعف ساختاری است. به گفته Condon، لازم است بهصورت بیرحمانه و فوری ارزیابی شود که فناوری چگونه باید در بلندمدت تکامل پیدا کند تا در برابر این حملات مقاومتر شود. همچنین باید با واقعبینی بیشتری به وضعیت فعلی فناوری و پیامدهای آن برای امنیت سایبری نگاه کرد.
یک نظر