导语:十年前的漏洞依然在被积极利用——这听起来像是安全团队的噩梦,却已成为现实。Cisco Talos最新报告显示,32%的顶级漏洞已存在超过十年,而攻击者的武器化速度却越来越快。防御者还在测试补丁时,攻击者已经兵临城下。
一、十年漏洞仍在活跃:被忽视的”老朋友”
1.1 数据触目惊心
根据Cisco Talos发布的《2025年度回顾报告》,安全研究人员发现了几个令人不安的趋势:
- 32%的顶级被利用漏洞年龄超过10年
- 近40%的顶级漏洞影响已停止生命周期(End-of-Life)的设备
- 80%的Top 100漏洞属于远程代码执行(RCE)类型
这些数字揭示了一个残酷现实:企业在补丁管理上存在结构性缺陷。PHPUnit、ColdFusion、Log4j等组件往往埋藏在应用深处,防御者甚至不知道它们的存在,或者因为与遗留应用深度耦合而无法轻易更新。
1.2 Log4Shell的”长寿”传奇
Log4Shell(CVE-2021-44228)自2021年披露以来,至今仍位列Top 10最常被利用的漏洞。作为红队,我必须说——这是攻击者的最爱。
为什么?因为Log4j已经深深嵌入企业应用、第三方集成、遗留系统和互联网暴露服务中。修补一个Log4j漏洞往往意味着要协调数十个团队、测试上百个应用接口。攻击者深知这一点——与寻找新的零日相比,继续利用Log4Shell的效率要高得多。
二、攻击速度与防御滞后的时间差
2.1 武器化只需”几天”
报告揭示了一个关键时间差:新披露的漏洞几乎可以立即进入活跃利用状态。2025年12月才披露的React2Shell(CVE-2025-55182)迅速成为年度最目标漏洞——从披露到被大规模利用,只有不到一个月。
而企业的平均测试和部署周期呢?两周。这意味着:
- 攻击者:数天完成武器化并发起攻击
- 防御者:14天完成测试、部署修复
这个时间差,就是攻击者的窗口期。
2.2 网络设备:被遗忘的战场
报告显示,23%的顶级漏洞直接影响网络设备,包括VPN设备和防火墙。这些设备往往部署在网络边界,一旦被攻破,攻击者可以直接进入内网。
更糟的是,大约66%的网络基础设施漏洞影响设备固件,只能针对特定硬件型号进行修复,无法通过通用补丁解决。
三、勒索软件与身份攻击持续升级
3.1 Qilin领跑勒索江湖
2025年勒索软件活动保持稳定态势,Qilin成为最活跃的勒索组织,占据数据泄露站点帖子的17%,其次是Akira(10%)和Play(6%)。
制造业依然是头号目标,原因是停机时间容忍度低、攻击面大。
3.2 MFA成为主要目标
多因素身份验证(MFA)正成为攻击焦点:
- 30%的MFA spray攻击针对身份和访问管理应用(2024年仅24%)
- 设备注册妥协事件同比增长178%
- 77%的设备妥协属于管理员管理注册
攻击者已经学会绕过MFA——不是破解它,而是欺骗它。
四、红队视角:漏洞战场的生存法则
从红队角度,这些数据告诉我们什么?
1. 旧漏洞是金矿 不要忽视那些”老掉牙”的漏洞。寻找企业资产中的古老组件——它们往往疏于管理,而且一旦突破,横向移动的路径会很长。
2. 边界设备是突破口 VPN、防火墙、路由器这些网络边界设备漏洞值得重点关注。一旦拿下,等于拿到了内网的入场券。
3. 身份系统是主战场 MFA不能完全依赖。攻击者已经在针对身份系统——通过MFA spray、设备注册欺骗、令牌窃取等方式。降权攻击和票据传递依然是内网横向的核心。
4. 利用速度决定成败 从漏洞披露到武器化的时间窗口越来越短。企业需要建立更快的响应机制——自动化补丁测试、灰度发布、热修复能力,这些是未来防御的关键。
五、防御建议
- 建立自动化漏洞资产管理,持续扫描识别隐藏的老旧组件
- 优先修复影响边界设备和高危RCE漏洞
- 加速补丁测试流程,目标是72小时内完成关键修复
- 加强身份系统监控,检测异常设备注册和MFA spray行为
- 对EOL设备制定专项升级计划
来源:本文配图基于Cisco Talos 2025 Year in Review报告内容生成。
暂无评论内容