企業環境的漏洞利用節奏持續加快。Cisco Talos 在 2025 年度回顧指出,攻擊者一方面快速將新漏洞武器化,另一方面也持續挖掘多年未修補的弱點,影響範圍橫跨基礎架構、身分系統與使用者工作流程。
Talos 觀察到,
新揭露漏洞幾乎「一公開就上線」。例如
React2Shell 雖在年底才出現,仍成為 2025 年最常被鎖定的漏洞,顯示攻擊者的工具鏈已能快速整合新弱點。
另一方面,老漏洞並沒有退場。
Log4Shell 相關 CVE 仍位居前十大被利用漏洞,原因是 Log4j 仍深藏在企業應用、第三方整合與舊系統之中。研究人員也提醒,許多元件如 PHPUnit、ColdFusion 與 Log4j 常被埋在大型系統裡,維運單位不一定掌握完整相依關係,更新時又容易牽動既有功能,導致修補成本高、因而延後修補。
從整體趨勢來看,
約四成最常被鎖定的漏洞影響已停止支援的設備(End of Life,EOL)。更值得注意的是,32%的漏洞至少已有 10 年歷史,反映供應商生命週期與企業修補節奏之間仍存在落差。
攻擊者偏好可大量複製的入口。約 25%的漏洞集中在常用框架與函式庫,另有 23%直接影響網路設備,例如 VPN 設備與防火牆。就漏洞類型而言,
遠端程式碼執行占前 100 大漏洞的 80%,顯示攻擊者更傾向選擇不需使用者互動,就能直接取得系統控制權的弱點。
Talos 也分析漏洞在技術堆疊中的位置。前 50 大網路基礎架構漏洞中,約 66%屬於裝置韌體層級,影響多局限在特定硬體型號。不過,一旦漏洞出現在共用平台或管理系統等層面,影響面就可能擴散到多款路由器、交換器與控制器。
除了漏洞利用,勒索軟體仍維持穩定活動。
製造業因停工容忍度低、攻擊面大,持續成為最常被鎖定的產業。2025 年以
Qilin 最活躍,占外洩站貼文約 17%,其次是
Akira 約 10%,以及
Play 約 6%。Talos 指出,一月通常是活動量較低的月份,資安團隊可考慮在此期間演練防護流程,以降低干擾真實事件的風險。
在勒索攻擊鏈中,身分憑證扮演關鍵角色。攻擊者常在多個階段濫用合法帳號,並搭配 RDP、PsExec 與 PowerShell 等工具進行橫向移動與持續存取。
多因素驗證(MFA)也成為攻擊焦點。MFA 噴灑攻擊在 2025 年有 30%鎖定身分與存取管理(IAM)應用,高於 2024 年的 24%。其中科技業因登入型態可預測且環境標準化,佔 MFA 噴灑活動的 36%。更具針對性的手法也在上升。偽造裝置註冊事件在 2024 到 2025 年增加 178%,攻擊者可把自己的裝置註冊成受信任驗證因子,進一步取得長期存取。
電子郵件仍是主要入侵途徑。
釣魚在事件應變案例中占比約 40%;攻擊者取得初始存取後,還會再次利用釣魚進行內部擴散,且有 35%案例涉及遭入侵帳號發出的內部郵件。在某一季度,75%的釣魚入侵來源是「可信任帳號」,使收件者更容易點擊或回覆。主題上,發票,付款與會議等商務語彙仍是常見誘餌,同時也出現更多與旅遊行程相關的字眼,反映攻擊者開始貼近企業差旅流程。
此外,
攻擊者也濫用 Microsoft 365 Direct Send 機制,在不入侵帳號的情況下偽冒內部寄件者,進而繞過部分郵件驗證。
AI 正擴大攻擊與防禦兩端的能力。攻擊者利用 AI 降低社交工程門檻,並透過深偽強化冒充效果。防守端則把 AI 用於告警分流與跨環境關聯分析,但同時也必須面對提示注入與脈絡操弄(Context Manipulation)等新型風險。
防護建議
- 盤點軟體物料清單(Software Bill of Materials,SBOM)與元件相依,避免 Log4j 等隱藏元件成為長期破口。
- 針對 EOL 設備建立汰換時程,並把 VPN 與防火牆納入高優先修補清單。
- 強化 IAM 管控,限制裝置註冊流程,並監控異常註冊事件。
- 對內外部郵件啟用更嚴格驗證與偵測,並教育使用者辨識釣魚與冒充郵件。
本文轉載自 HelpNetSecurity。