Группа Google Threat Intelligence Group (GTIG) сообщила, что в течение 2025 года было зафиксировано 90 уязвимостей нулевого дня, которые активно использовались в атаках. Почти половина из них пришлась на корпоративное ПО и устройства.
Эта цифра на 15% выше по сравнению с 2024 годом, когда было использовано 78 уязвимостей нулевого дня, но ниже рекордных 100 уязвимостей нулевого дня, отслеженных в 2023 году.
Уязвимости «нулевого дня» (zero-day) — это ошибки безопасности в ПО, которые начинают использовать злоумышленники до того, как разработчик узнает о проблеме и выпускает исправление. Такие уязвимости особенно ценятся в кибератаках, поскольку позволяют получить первоначальный доступ к системе, выполнить удаленный код или повысить привилегии внутри инфраструктуры.
В отчете Google Threat Intelligence Group говорится, что из 90 уязвимостей нулевого дня, эксплуатируемых в атаках в 2025 году, 47 затрагивали платформы конечных пользователей, а 43 — корпоративные продукты.
Типы используемых уязвимостей включают удаленное выполнение кода, повышение привилегий, уязвимости внедрения и десериализации, обход авторизации и ошибки повреждения памяти (использование данных после освобождения памяти). Google сообщает, что на проблемы безопасности памяти приходилось 35% всех использованных уязвимостей нулевого дня в прошлом году.
Наиболее часто целевыми корпоративными системами были устройства безопасности, сетевая инфраструктура, VPN и платформы виртуализации, поскольку они обеспечивают привилегированный доступ к сети и часто не имеют мониторинга EDR.
По данным GTIG, наиболее распространенной категорией уязвимостей в прошлом году стали ошибки в ОС. В атаках использовались 24 уязвимости нулевого дня в настольных ОС и 15 — в мобильных платформах.
Количество эксплуатируемых уязвимостей нулевого дня в веб-браузерах сократилось до восьми, что является резким снижением по сравнению с предыдущими годами.
Аналитики Google предполагают, что это может быть связано с усилением мер безопасности в этой категории ПО, хотя это также может быть следствием использования злоумышленниками более совершенных методов обхода защиты и более эффективного сокрытия вредоносной деятельности.
В 2025 году больше всего атак с использованием уязвимостей нулевого дня было направлено на продукты Microsoft — 25 случаев. Далее следуют Google с 11, Apple с 8, а также Cisco и Fortinet — по 4. Еще по 3 случая пришлось на продукты Ivanti и VMware.
Впервые с тех пор, как Google начал отслеживать эксплуатацию уязвимостей нулевого дня, коммерческие поставщики шпионского ПО стали крупнейшими пользователями незадокументированных уязвимостей, превзойдя государственные шпионские группы, которые используют более эффективные методы сокрытия.
В отчете сообщается:
Продолжается тенденция последних лет: все большая доля эксплуатации уязвимостей нулевого дня связана с поставщиками коммерческого шпионского ПО (CSV) и/или их клиентами. Это указывает на медленное, но устойчивое изменение ситуации в этой сфере.
Исследователи отмечают, что среди групп, предположительно поддерживаемых государствами, наибольшую активность в 2025 году проявляли кибероператоры, связываемые с Китаем. По данным отчета, они использовали 10 уязвимостей нулевого дня. Атаки были направлены в основном на периферийные устройства, устройства безопасности и сетевое оборудование для получения долговременного постоянного доступа.
Еще одна заметная тенденция, наблюдавшаяся в прошлом году, — это увеличение числа эксплуатаций уязвимостей нулевого дня субъектами, мотивированными финансовыми интересами (программы-вымогатели, вымогательство данных), на долю которых пришлось девять из этих уязвимостей.
GTIG считает, что использование инструментов ИИ поможет автоматизировать обнаружение уязвимостей и ускорить разработку эксплойтов, поэтому ожидается, что в 2026 году уровень эксплуатации уязвимостей нулевого дня останется высоким.
В отчете в качестве примера того, как хакеры смещают акцент с кражи исходного кода на обнаружение уязвимостей в будущих программных продуктах, приводится кампания Brickstorm.
Для обнаружения и сдерживания эксплуатации уязвимостей нулевого дня Google рекомендует уменьшать поверхность атаки и степень уязвимости привилегий, постоянно отслеживать аномальное поведение систем и поддерживать процессы быстрого обновления и реагирования на инциденты.
Угрозы безопасности
• Google: злоумышленники использовали в атаках 90 уязвимостей нулевого дня в прошлом году
• Атака ClawJacked — перебор паролей через localhost и полный захват OpenClaw
• Публичные Google API-ключи открыли доступ к данным Gemini AI
• Zyxel предупреждает о критической уязвимости UPnP, затрагивающей более десятка маршрутизаторов
• Уязвимость автозаполнения: как браузеры отдают данные через скрытые формы
• Фишинговая кампания против пользователей Avast: фейковое списание на 499.99 евро и кража CVV