25/09/25
Эксперты BI.ZONE WAF проанализировали веб-угрозы и обнаружили, что летом 2025 года выросло количество уязвимостей, связанных с кражей данных. SQL-инъекции вновь оказались наиболее распространенным типом веб-уязвимостей. Ситуация осложняется ростом числа рабочих эксплоитов: если они есть в инфраструктуре, увеличивается риск использования уязвимости.
SQL-инъекции закрепились как главный вектор угроз
Более половины всех уязвимостей высокого и критического уровня приходятся на SQL-инъекции — 56%. В весеннем отчете BI.ZONE WAF их количество лишь на 30% превышало число XSS, но к лету разрыв вырос более чем втрое. На втором месте остаются XSS, а следом заметный рост показывают повышение привилегий и внедрение кода.
По общему массиву типов веб-уязвимостей (уязвимости всех уровней критичности) SQL-инъекции также усилили позиции и впервые обогнали XSS. Если весной XSS фиксировали чаще, то к лету выявили 982 случая SQL-инъекций, что вывело их в лидеры. XSS все еще занимают значительную долю и по-прежнему входят в топ угроз. Рядом с ними остаются CSRF (межсайтовые подделки запросов), а также появившиеся в летнем отчете уязвимости, связанные с внедрением кода.
Для IT-команд и руководителей это значит прямой риск утечки и масштабной компрометации: успешная SQL-инъекция открывает доступ к базам данных. На практике это требует приоритизировать задачи по обновлению уязвимых систем (особенно PHP и WordPress), оперативного мониторинга появления PoC и попыток эксплуатации уязвимостей, чтобы остановить атаки на раннем этапе.
Фокус новых уязвимостей смещается на инфраструктурные компоненты веб-стека
Наибольшее количество критических уязвимостей летом 2025 года наблюдается в массовых и корпоративных решениях. Среди стеков особенно выделяются:
- Решения на PHP — более 70% уязвимостей критичны.
- WordPress-плагины — около 36% критических.
- Java-компоненты, включая Apache Tomcat (CVE-2025-31650), — около 61%.
- Веб-ПО сетевых устройств, включая PAN-OS (CVE-2025-0108), — около 84%.
В некоторых технологиях все выявленные уязвимости оказались критическими — это касается Python, GitLab и ASP.NET.
Наличие РоС повышает степень угрозы
Рост реальной угрозы определяется не столько числом новых CVE, сколько скоростью появления и распространения рабочих PoC. Эксперты BI.ZONE WAF зафиксировали, что даже при снижении общего числа уязвимостей становится больше возможностей для их эксплуатации. С весны по лето 2025 года число PoC выросло на 6%, тогда как количество новых CVE и критических уязвимостей уменьшилось. Если посмотреть на более длительный период (с зимы по лето), то прирост PoC составил около 43%, в то время как общее число новых уязвимостей увеличилось лишь на 9%. Критические и высококритичные уязвимости возросли на 19%.
Одна из причин, по которой уязвимость считается критической, — возможность ее эксплуатации. Если какую-то уязвимость достаточно просто использовать, а от злоумышленника не требуются специальные знания или наличие привилегий администратора, то она получает более высокий уровень критичности. Наличие рабочего РоС увеличивает риск массовой эксплуатации сразу после публикации и повышает нагрузку на команды кибербезопасности и IT.
Дмитрий Царев, руководитель управления облачных решений кибербезопасности BI.ZONE:
SQL-инъекции снова стали самым частым типом веб-угроз: на них приходится более половины всех критических уязвимостей. Опасность усиливается ростом числа PoC: их появление напрямую ускоряет возможности эксплуатации. Поэтому ключевая задача компаний сегодня — регулярные обновления и патчинг, применение правил веб-фильтрации и WAF на уязвимых приложениях. Эти меры позволяют снизить вероятность масштабных утечек данных и предотвратить вероятность атаки на раннем этапе.
BI.ZONE — компания по управлению цифровыми рисками, которая помогает организациям безопасно развивать бизнес в киберпространстве. BI.ZONE разрабатывает собственные продукты для обеспечения устойчивости IT‑инфраструктур любого размера и оказывает широкий спектр услуг по киберзащите: от расследования инцидентов и мониторинга угроз до создания стратегий по кибербезопасности и комплексного аутсорсинга профильных функций. С 2016 года компания реализовала более 1600 проектов в сферах финансов, телекоммуникаций, энергетики, авиации и многих других, защитив свыше 800 клиентов. Сайт: https://bi.zone.
