Каталог CISA KEV расширился: резкий рост активно эксплуатируемых уязвимостей в 2025 году
В последние годы кибербезопасность стала одной из самых актуальных глобальных проблем. Особенно опасными для организаций являются уязвимости, которые активно эксплуатируются в реальных атаках. В этом контексте особое значение приобретает каталог Known Exploited Vulnerabilities (KEV), который ведётся Агентством по кибербезопасности и защите инфраструктуры США — CISA (Cybersecurity and Infrastructure Security Agency).
По состоянию на декабрь 2025 года количество уязвимостей в каталоге CISA KEV достигло 1 484. Этот показатель является не только важной статистической отметкой, но и наглядно демонстрирует, насколько значительно возрос уровень реальных киберугроз.
Каталог KEV: краткая история и значение
Каталог KEV был впервые запущен в ноябре 2021 года и включал 311 уязвимостей. Его ключевое отличие заключается в том, что он основан не на традиционных показателях CVSS, а на уязвимостях, фактически эксплуатируемых в реальной среде. В каталог включаются только те уязвимости, использование которых злоумышленниками подтверждено на практике.
За последние четыре года каталог значительно расширился:
| Год | Добавлено уязвимостей | Общее количество |
|---|---|---|
| 2021 | 311 | 311 |
| 2022 | 555 | 866 |
| 2023 | 187 | 1 053 |
| 2024 | 186 | 1 239 |
| 2025 | 245 | 1 484 |
Особого внимания заслуживает тот факт, что в 2025 году было добавлено 245 новых уязвимостей, что на 20–30% выше, чем средний показатель за 2023–2024 годы. Это может свидетельствовать как об увеличении активности киберпреступников, так и об усилении механизмов обнаружения уязвимостей и киберразведки.
KEV и BOD 22-01: обязательные требования
Каталог KEV ведётся в рамках документа BOD 22-01 (Binding Operational Directive), изданного CISA. Данная директива является обязательной для федеральных гражданских исполнительных органов США (FCEB) и устанавливает следующие требования:
- Уязвимости (CVE), выявленные после 2021 года, должны быть устранены в течение двух недель;
- Уязвимости, обнаруженные до 2021 года, подлежат исправлению в течение шести месяцев.
Хотя эти требования являются обязательными только для федеральных учреждений, CISA настоятельно рекомендует организациям частного сектора также использовать каталог KEV в качестве основного источника приоритизации уязвимостей.
Ransomware и KEV: опасное сочетание
Анализ за 2025 год выявил один из самых тревожных фактов:
304 из 1 484 уязвимостей (20,5%) были напрямую использованы в атаках с применением программ-вымогателей (ransomware).
Только в 2025 году было подтверждено, что 24 новые уязвимости активно эксплуатируются операторами ransomware. В их числе:
- CVE-2025-5777 (CitrixBleed 2) — уязвимость чтения памяти в Citrix NetScaler;
- Несколько SSRF и неизвестных ранее уязвимостей в Oracle E-Business Suite;
- Уязвимости в широко используемых корпоративных системах, таких как Fortra GoAnywhere MFT, Microsoft SharePoint и SAP NetWeaver.
Особенно примечательно, что Microsoft заняла лидирующую позицию с 100 уязвимостями, связанными с ransomware, за ней следуют Fortinet, Ivanti и Oracle. Это наглядно показывает, что широко распространённые платформы остаются постоянной целью злоумышленников.
Картина рисков по вендорам
Уязвимости в каталоге KEV распределены между вендорами неравномерно:
| Вендор | Количество уязвимостей |
|---|---|
| Microsoft | 350 |
| Apple | 86 |
| Cisco | 82 |
| Adobe | 76 |
| 67 | |
| Oracle | 42 |
| Apache | 38 |
| Ivanti | 30 |
| VMware | 26 |
| D-Link | 25 |
Доля Microsoft составляет почти 24%, что напрямую связано с её рыночной долей и разнообразием продуктов. В то же время снижение количества уязвимостей у таких вендоров, как Adobe, Apache, VMware и Palo Alto Networks в 2025 году свидетельствует об улучшении практик безопасной разработки программного обеспечения.
Наиболее часто эксплуатируемые типы уязвимостей (CWE)
Каталог KEV также позволяет понять природу наиболее опасных уязвимостей. Наиболее распространённые категории CWE:
- CWE-20 — некорректная проверка входных данных (113);
- CWE-78 — инъекция команд операционной системы (97);
- CWE-787 — запись за пределами границ буфера (96);
- CWE-416 — Use-After-Free (86);
- CWE-502 — десериализация недоверенных данных (58).
Эти данные указывают на то, что основные проблемы по-прежнему возникают на этапе разработки программного обеспечения. Особенно часто сохраняются уязвимости, связанные с управлением памятью, в системах, написанных на языках C и C++.
Выводы и рекомендации
Резкое расширение каталога KEV в 2025 году наглядно продемонстрировало ключевую реальность современного киберпространства:
злоумышленники выбирают не теоретические, а реально работающие уязвимости.
Сегодня каталог KEV является одним из самых надёжных источников для выявления реальных киберугроз не только для федеральных органов США, но и для организаций любого масштаба.
🛡 Практические рекомендации:
- внедрить систему приоритизации обновлений и патчей на основе каталога KEV;
- вести точный и актуальный учёт активов (asset inventory);
- осуществлять мониторинг darknet и источников киберразведки;
- усилить резервное копирование и сегментацию сети для защиты от ransomware.
В современных условиях каталог KEV — это уже не просто список, а стратегический инструмент управления киберрисками.
