2025 年第一季度漏洞利用趋势

已知被利用漏洞（Known Exploited Vulnerabilities，本文简称 KEV） 指的是已经被证实在现实中被攻击者利用过的漏洞。也就是说，这类漏洞不仅存在理论上的风险，而是已经有实际攻击案例，在野（in the wild）被利用过。

美国 CISA（网络安全与基础设施安全局）就有一个叫 Known Exploited Vulnerabilities Catalog（已知被利用漏洞目录）^[1]的官方项目。为了造福网络安全社区和网络防御者，并帮助每个组织更好地管理漏洞并跟上威胁活动的步伐，CISA 维护着已被利用的漏洞的权威来源。组织应将 KEV 目录作为其漏洞管理优先级排序框架的输入。

原文链接：https://vulncheck.com/blog/exploitation-trends-q1-2025^[2]

unsetunset0x00 概述unsetunset

在 2025 年第一季度，VulnCheck 首次识别出 159 个 CVE 被公开披露为在野外被利用的证据。这些 KEV 的披露来自 50 个不同的来源。

我们继续观察到漏洞被迅速利用的趋势，其中 28.3%的漏洞在 CVE 披露后的 1 天内即被利用。这一趋势延续了 2024 年观察到的节奏。

这表明防御者需要在应对新兴威胁时行动迅速，同时持续减少自己的漏洞债务。

unsetunset0x01 关键点unsetunset

• 2025 年第一季度，共有 159 个 KEV 被公开披露；
• 28.3%的 KEV 在 CVE 发布后不到一天内就有被利用的证据；
• 25.8%的 KEV 仍在等待或接受 NIST NVD 的分析；
• 3.1%的 KEV 被 NIST NVD 分配了新的“延期（Deferred）”状态；
• 2 个公开报告的 KEV 拥有保留但未发布的 CVE 编号；
• 1 个报告的 KEV 现已被拒绝。

unsetunset0x02 类别趋势unsetunset

哪些产品类别、厂商和产品被报告为存在漏洞利用？

2025 年第一季度与新 KEV 相关的前五大类别为：

• 内容管理系统（CMS）（35 项）
• 网络边缘设备（29 项）
• 操作系统（24 项）
• 开源软件（14 项）
• 服务器软件（14 项）

这些类别通常涉及面向互联网或终端用户可访问的系统。值得注意的是，与历史上桌面应用程序和浏览器常被利用的情况相比，桌面应用程序和浏览器相关的 KEV 数量相对较低。未来几个季度，这种变化是否会持续，值得关注。

主要受影响的厂商和产品包括：

• Microsoft Windows（15 项）
• Broadcom VMware（6 项）
• Cyber PowerPanel（5 项）
• Litespeed Technologies（4 项）
• Totolink 路由器（4 项）

unsetunset0x03 每月趋势unsetunset

漏洞利用证据被报告的速度如何？

当我们观察 CVE 披露到利用证据公开之间的时间时，可以更好地理解漏洞被利用的速度。我们发现，28.3%的 KEV 在 CVE 发布后不到一天即被披露存在利用证据。还有 2 个 KEV 仍处于保留状态，1 个已被拒绝。整体上，这一速度比 2024 年稍快，说明威胁行为者在新漏洞上行动更加迅速。

unsetunset0x04 每周/每月趋势unsetunset

每周/每月首次报告被利用的漏洞数量是多少？

虽然年初开始时漏洞披露速度较慢（可能是季节性原因），但在季度后半段迅速加速，最终在 2025 年第一季度累计报告了 159 个已知被利用漏洞（KEV）。平均每周披露 11.4 个，每月披露 53 个。虽然 CISA KEV 在这一季度增加了 73 个漏洞，但其中只有 12 个此前没有公开的利用证据。

对于防御者来说，这一趋势为围绕新兴漏洞威胁的能力规划提供了有价值的参考。

unsetunset0x05 来源分布unsetunset

谁是最早公开报告漏洞利用的人？

2025 年第一季度，有 159 个漏洞的利用证据来自 50 个不同组织。数据显示，这些披露呈现出长尾分布，这对于寻找可操作威胁情报的防御者来说是一个有价值的趋势。相比之下，2024 年第四季度有 190 个与 CVE 相关的漏洞利用披露，不过其中 39 个是此前已知的老旧 WordPress 漏洞，后经与 Wordfence 协调分配了 CVE 编号并正式发布，因此夸大了 Q4 的总数。如果排除这些，调整后的数字是 151。

在公开披露漏洞利用证据方面的主要贡献者包括：

• Shadow Server（31 项）
• GreyNoise（17 项）
• CISA KEV（12 项）
• Microsoft（12 项）
• Sentinel One（10 项）
• Cyble（9 项）
• Patchstack（6 项）
• Secure List（5 项）

unsetunset0x06 NVD 状态分析unsetunset

2025 年第一季度 KEV 的当前 NVD/CVE 状态是怎样的？

我们希望探讨已知被利用漏洞在 NIST NVD 中的当前状态，以识别潜在的覆盖缺口。分析发现：

• 25.8%的漏洞仍在等待或进行分析；
• 3.1%的漏洞被赋予新的“延期（Deferred）”状态；
• 69.2%的漏洞已被标记为“已分析（Analyzed）”或“已修改（Modified）”。

unsetunset0x07 评分系统分析unsetunset

将 2025 年第一季度 KEV 映射到评分系统的情况

在通过 CVSS 和 EPSS 评分角度审视新兴威胁用例时，我们使用了漏洞利用证据首次公开当天的 EPSS 得分，以及当时可用的任何 CVSS 得分。我们发现，即便漏洞已知被利用，当天 EPSS 得分升高的漏洞仍然只有极少数。这表明，EPSS 更像是一个滞后指标，而不是预测新兴威胁的工具。

组织在应对新兴威胁时，应谨慎依赖漏洞评分系统。