> **来源:[研报客](https://pc.yanbaoke.cn)** # 2025年网络安全漏洞态势报告总结 ## 核心内容概述 2025年全球网络安全漏洞态势持续恶化,漏洞数量和攻击频率显著上升,对企业和个人的安全构成严重威胁。新华三安全攻防实验室发布的《2025年网络安全漏洞态势报告》从多个维度分析了漏洞的分布、类型及攻击趋势,揭示了安全防护体系面临的严峻挑战。 --- ## 主要观点与关键信息 ### 1. 漏洞数量与利用速度激增 - **漏洞总数**:2025年漏洞总数达48482条,较2024年增长21.1%,创历史新高。 - **高危漏洞增长**:超危和高危漏洞合计占比达49.5%,且高危以上漏洞同比增长1.7%。 - **漏洞利用速度**:漏洞从披露到被利用的时间窗口大幅缩短,28.96%的漏洞在CVE发布当天或之前被利用,平均利用时间降至5天。 - **零点击攻击**:攻击无需用户交互,如Simjacker、iOS imagent进程漏洞、三星Galaxy漏洞等,攻击隐蔽性增强,影响范围扩大。 ### 2. 攻击趋势与目标转移 - **Web应用漏洞**:仍是主要攻击目标,占比达43%。SQL注入、XSS和CSRF等传统漏洞依然猖獗,同时新兴漏洞如RCE和认证绕过漏洞持续涌现。 - **操作系统漏洞**:2025年增长26.1%,权限提升漏洞占比高,Windows和Linux系统成为重点攻击目标。微软、苹果、三星等公司均出现高危漏洞。 - **网络设备漏洞**:2025年漏洞数量与2024年持平,但攻击手段复杂化,如缓冲区溢出、认证绕过、命令注入等。 - **工控系统漏洞**:随着工业互联网发展,漏洞数量增长13.2%,攻击者利用这些漏洞影响关键基础设施,如电力、化工、铁路等。 - **人工智能漏洞**:AI漏洞数量达608条,其中60%为AI特有漏洞,如提示注入、数据投毒、模型窃取等,攻击者通过攻击AI基础设施(如vLLM、Langflow)实现更深层次的控制。 - **云计算平台漏洞**:漏洞数量增长14.3%,影响范围广泛,尤其是Kubernetes、VMware ESXi等关键组件。攻击者通过漏洞链实现从虚拟机到整个集群的控制。 ### 3. 攻击手段与技术趋势 - **AI赋能攻击**:攻击者利用AI生成定制化攻击代码,提升攻击效率和隐蔽性,如“智能体黑客”和自动化攻击管道。 - **供应链攻击**:攻击者通过污染开源组件(如React、Spring、npm仓库)实现“攻其一点,溃其一片”。 - **漏洞链式利用**:攻击者通过多漏洞组合实现高效渗透,如VMware ESXi漏洞链可在90秒内实现集群沦陷。 - **云安全威胁**:攻击者集中攻击云平台基础层,如Kubernetes、Ingress-nginx等,导致数据泄露、服务中断等严重后果。 --- ## 漏洞类型与攻击方式 ### Web应用漏洞 - **漏洞类型**:跨站脚本(XSS)、SQL注入、权限许可和访问控制问题,占68.4%。 - **典型漏洞**: - Apache Tomcat文件上传漏洞(CVE-2025-24813) - React Server Components远程代码执行漏洞(CVE-2025-55182) - Microsoft SharePoint Server远程代码执行漏洞(CVE-2025-53770) ### 操作系统漏洞 - **漏洞类型**:权限许可和访问控制问题(16%)、拒绝服务、代码执行、缓冲区错误等。 - **典型漏洞**: - Windows OLE组件远程代码执行漏洞(CVE-2025-21298) - 苹果Image I/O内存越界写入漏洞(CVE-2025-43300) - 三星Quram图像库远程代码执行漏洞(CVE-2025-21042) ### 网络设备漏洞 - **漏洞类型**:缓冲区错误(35%)、权限许可和访问控制问题(7%)、命令注入(6%)。 - **典型漏洞**: - Ivanti Connect Secure VPN缓冲区溢出漏洞(CVE-2025-0282) - FortiWeb认证绕过漏洞(CVE-2025-64446) - 思科SNMP缓冲区溢出漏洞(CVE-2025-20352) ### 工控系统漏洞 - **漏洞类型**:缓冲区溢出、信息泄露、SQL注入等。 - **典型漏洞**: - 罗克韦尔Arena仿真软件远程代码执行漏洞(CVE-2025-2285) - 西门子SINEC NMS SQL注入漏洞(CVE-2025-40755) - 三菱电机MELSEC iQ-R系列身份验证绕过漏洞(CVE-2025-7405) ### 人工智能漏洞 - **漏洞类型**:代码问题、信息泄露、授权问题等。 - **典型漏洞**: - Langflow未授权代码注入漏洞(CVE-2025-3248) - vLLM Pickle远程代码执行漏洞(CVE-2025-47277) - n8n远程代码执行漏洞(CVE-2025-68613) ### 云计算平台漏洞 - **漏洞类型**:权限许可和访问控制问题(28.3%)、敏感信息泄露、跨站脚本等。 - **典型漏洞**: - Ingress-nginx控制器远程代码执行漏洞(CVE-2025-1974) - VMware ESXi漏洞链(CVE-2025-22224、CVE-2025-22225、CVE-2025-22226) - MongoDB Zlib堆内存信息泄露漏洞(CVE-2025-14847) --- ## 安全建议 ### Web应用安全建议 - 实施强身份验证机制(如验证码、动态口令)。 - 强化会话管理,避免会话信息被篡改。 - 严格权限管理,遵循最小权限原则。 - 加密存储和传输敏感数据(如密码、密钥)。 - 定期进行代码审计与安全加固。 - 对中间件及时更新补丁,加强安全配置。 ### 操作系统安全建议 - 限制用户账户数量,禁用不必要的账户。 - 强化密码策略,采用高强度密码。 - 严格配置文件系统权限,拒绝未授权访问。 - 关闭不必要的网络服务(如FTP、Telnet)。 - 定期更新系统补丁,保持系统最新。 - 实施最小化系统配置,减少攻击面。 - 加强日志记录与监控,防止篡改。 ### 网络设备安全建议 - 部署前进行安全测试。 - 严格配置访问控制,关闭非必要服务。 - 实施日志记录与审计。 - 及时更新设备固件和补丁。 ### 工控系统安全建议 - 分离开发、测试与生产环境。 - 部署边界防护设备,限制互联网接入。 - 对工业设备实施严格的登录权限管理。 - 封闭不必要的接口(如USB、无线),实施访问控制。 - 部署深度包检测与安全审计机制。 ### 人工智能安全建议 - 推行内生安全治理,将安全能力嵌入AI系统全生命周期。 - 实施零信任和最小权限原则,限制AI组件与第三方服务的访问权限。 - 强化供应链安全审计,跟踪SBOM并监控依赖项。 - 部署深度伪造检测、AI防火墙和模型访问控制。 - 构建覆盖供应链、数据访问、隐私保护的全生命周期防护体系。 ### 云计算平台安全建议 - **云服务商**: - 构建安全稳定的基础设施平台。 - 实施版本更新与漏洞应急响应机制。 - 提供合规性配置与审计功能。 - 部署深度防御技术,如AI防火墙和深度包检测。 - **企业用户**: - 明确云安全责任边界,遵循“责任共担”原则。 - 加强应用供应链安全,确保制品来源可信。 - 实施权限最小化,严格控制云资源访问凭证。 - 关注数据与运行时安全,定期扫描与审计。 - 及时修复漏洞并更新版本,防止攻击者利用漏洞入侵。 --- ## 结语 2025年网络安全形势愈发严峻,漏洞数量和攻击手段不断升级。AI技术的广泛应用带来了新的安全风险,攻击者利用AI进行自动化、隐蔽性攻击,使得传统安全防护体系难以应对。同时,供应链攻击、零点击漏洞、漏洞链式利用等新型攻击方式的出现,对整个网络安全生态构成严重威胁。新华三倡导“主动安全”理念,致力于构建全面的网络安全态势感知体系,以提升整体防护能力。面对日益复杂的网络攻击环境,企业和组织必须加强安全防护,提升安全意识,积极应对新兴威胁,确保数字转型的安全性。