2025年野外被利用的顶级零日漏洞

2025年的网络安全形势以威胁行为者积极利用的零日漏洞数量前所未有的激增为显著特征。

根据最新数据，仅2025年上半年就公布了超过23,600个漏洞，较2024年增长了16%。

这一令人担忧的趋势表明，包括国家支持的组织和勒索软件运营商在内的复杂威胁行为者，正以前所未有的速度将未知漏洞武器化。

已知被利用漏洞（KEV）中，近30%在披露后的24小时内被武器化，一些备受关注的边缘设备甚至在补丁发布前就遭遇了零日漏洞攻击。

这些攻击的范围和复杂程度都有了显著升级，攻击目标涵盖了从广泛使用的网页浏览器到关键的企业基础设施等各个方面。

这份综合分析研究了2025年全年被积极利用的最重大零日漏洞，为网络安全专业人员提供了详细的技术见解、影响评估和缓解策略。

谷歌浏览器：被围攻的浏览器

CVE-2025-10585：最新的Chrome零日漏洞

Chrome漏洞清单中最新添加的一项是CVE-2025-10585，该漏洞于2025年9月16日被发现，并在24小时内完成了补丁修复。

Chrome的V8 JavaScript和WebAssembly引擎中存在的这种类型混淆漏洞，是2025年被利用的第六个Chrome零日漏洞。

谷歌威胁分析小组（TAG）证实存在主动利用情况，这表明复杂的威胁行为者（可能是国家支持的团体）正在定向攻击活动中利用这一漏洞。

技术细节：

• 漏洞类型：V8引擎中的类型混淆
• 攻击向量：带有特制JavaScript的恶意网站
• 影响：任意代码执行，浏览器完全受损
• 受影响版本： 140.0.7339.185/.186 之前版本的 Chrome

CVE-2025-6558：ANGLE GPU 漏洞利用

2025年7月初，CVE-2025-6558成为另一个严重的Chrome零日漏洞，它利用了ANGLE（近似原生图形层引擎）和GPU组件。

这一漏洞使得攻击者能够通过特制的图形调用逃离Chrome的沙箱，导致内存越界访问，并可能引发任意代码执行。

技术影响：

• CVSS评分：未披露
• 利用方法：带有特制图形调用的恶意HTML页面
• 后果：浏览器沙箱逃逸，系统级访问权限
• 修复版本：Chrome 138.0.7204.157/.158

Chrome 2025年零日漏洞组合

2025年全年，Chrome多次成为零日漏洞攻击的目标，其中包括CVE-2025-2783、CVE-2025-4664、CVE-2025-5419、CVE-2025-6554以及CVE-2025-6558。

这种对Chrome的持续攻击凸显了该浏览器作为攻击媒介的关键作用，以及现代威胁行为者针对网络技术的复杂程度。

Citrix NetScaler：遭受攻击的关键基础设施

CVE-2025-7775：NetScaler远程代码执行零日漏洞

2025年8月26日，思杰（Citrix）披露了CVE-2025-7775，这是NetScaler ADC和NetScaler Gateway中存在的一个严重内存溢出漏洞，该漏洞已被作为零日漏洞被积极利用。

该漏洞的CVSS评分为9.2，是2025年企业网络基础设施面临的最严重威胁之一。

漏洞分析：

• CVSS评分：9.2（严重）
• 攻击复杂度：高（需要复杂的利用技术）
• 需要身份验证： 无（无需身份验证即可利用）
• 影响：远程代码执行和拒绝服务

该漏洞影响配置为网关或AAA虚拟服务器的NetScaler设备，涉及版本13.1、14.1、13.1-FIPS和NDcPP。

根据Shadowserver的数据，在信息披露后，仍有超过28200个实例处于暴露状态且存在漏洞。

这种攻击行为与复杂的威胁 actors 有关联，这些 actors 能够部署网页外壳以获取持久访问权。

缓解要求：

各组织必须立即升级到以下固定版本：14.1-47.48+、13.1-59.22+、13.1-FIPS/NDcPP 13.1-37.241+以及12.1-FIPS/NDcPP 12.1-55.330+。

微软SharePoint：ToolShell攻击活动

CVE-2025-53770和CVE-2025-53771：链式利用

2025年7月，微软针对影响本地SharePoint服务器的两个相互关联的零日漏洞发布了紧急带外补丁。

这些漏洞在一场被称为“ToolShell”的攻击活动中被利用，展示了多阶段攻击链的演变。

CVE-2025-53770 技术简介：

• CVSS评分：9.8（严重）
• 漏洞类型：不可信数据的不安全反序列化
• 影响：远程代码执行
• 身份验证：通过CVE-2025-53771绕过

CVE-2025-53771 技术简介：

• CVSS评分：6.3（中等）
• 漏洞类型：头部欺骗漏洞
• 影响：绕过身份验证
• 利用方法： 精心构造的Referer头

该攻击链的运作方式是，首先利用CVE-2025-53771通过头部欺骗绕过身份验证，然后利用CVE-2025-53770通过恶意反序列化执行代码。

这种复杂的方法使攻击者能够提取加密的机器密钥，即便在初始漏洞被修复后，也能实现长期驻留。

归属与影响：

Unit 42的研究发现了与Storm-2603集群重叠的活动，早在2025年7月17日就观察到了利用尝试。

该活动发展迅速，威胁参与者不断调整策略以躲避检测，并从.NET模块转向网页shell有效载荷。

SAP NetWeaver：企业ERP遇袭

CVE-2025-31324：完美的CVSS 10.0漏洞

CVE-2025-31324获得了罕见的CVSS满分10.0，这意味着它在所有指标上都达到了最高严重程度。

SAP NetWeaver Visual Composer中的这一漏洞允许未认证的攻击者上传任意文件，从而导致系统立即被攻陷。

严重漏洞详情：

• CVSS评分：10.0（严重）
• 组件： SAP NetWeaver Visual Composer
• 攻击向量：互联网上的HTTP/HTTPS
• 认证：无需认证
• 利用方式：/developmentserver/metadatauploader 端点

该漏洞在公开披露前近三周首次被作为零日漏洞利用，有证据表明，其利用与复杂的APT组织以及“麒麟”勒索软件行动都有关联。

OP Innovate的事件响应显示其与已知的Cobalt Strike基础设施存在通信，这表明该漏洞被用于更广泛的勒索软件攻击活动中。

二次利用浪潮：

在公开披露后，CVE-2025-31324遭遇了机会主义攻击者利用先前植入的网页木马发起的二次攻击浪潮。

这种模式表明，即使在初步修复措施之后，零日漏洞仍然会构成威胁。

CVE-2025-42999：根本原因修复

2025年5月13日，SAP发布了安全说明3604119，以解决CVE-2025-42999（CVSS 9.1）问题，该说明修正了CVE-2025-31324的根本原因。

这一后续漏洞源自Onapsis研究实验室开展的法医分析，凸显了企业软件漏洞的复杂性质。

Android生态系统：移动平台目标

CVE-2025-38352和CVE-2025-48543：针对性移动设备攻击

谷歌2025年9月的安卓安全公告修复了两个正在被积极利用的零日漏洞，这些漏洞影响安卓生态系统。

这两个漏洞都可实现本地权限提升，且已被证实存在“有限的、有针对性的利用”情况，这表明存在针对高价值人员的间谍软件攻击活动。

CVE-2025-38352分析：

• 组件：Linux内核POSIX CPU计时器
• 漏洞类型：竞态条件
• CVSS评分：7.4
• 影响：本地权限提升
• 受影响版本：Android 10及更高版本

CVE-2025-48543分析：

• 组件：安卓运行时（ART）
• 漏洞类型：释放后使用
• 影响：Chrome沙箱逃逸、权限提升
• 目标：Android system_server 入侵

谷歌威胁分析小组发现的攻击模式和相关情况强烈表明，这些漏洞已被武器化，用于针对特定高风险用户的雇佣兵间谍软件行动中。

三星特定的安卓漏洞

CVE-2025-21043是一个特定于三星设备的严重Android漏洞，发现于Quramsoft开发的libimagecodec.quram.so库中。

这种越界写入漏洞可通过恶意图像处理实现远程代码执行。

三星漏洞概况：

• CVSS评分：8.8（高）
• 组件：libimagecodec.quram.so
• 发现日期：2025年8月13日（私下披露）
• 受影响版本：Android 13、14、15、16
• 归属：由Meta和WhatsApp安全团队报告

苹果生态系统：持续的目标

CVE-2025-43300：ImageIO框架漏洞利用

苹果公司于2025年8月针对CVE-2025-43300发布了紧急安全更新，这是苹果在2025年修补的第七个零日漏洞。

苹果公司ImageIO框架中存在的这种越界写入漏洞已被证实，曾被用于“针对特定目标个人的极为复杂的攻击”中。

苹果零日漏洞概况：

• CVSS评分：8.8（高）
• 组件：ImageIO 框架
• 攻击向量：恶意图像文件
• 影响：内存损坏、任意代码执行
• 范围：多个版本的iOS、iPadOS、macOS系统

该漏洞展示了针对苹果生态系统的攻击技术的演变，简单的图片查看行为就可能危及整个设备的安全。

苹果公司对复杂针对性攻击的承认表明，国家行为体参与了这些 exploitation活动。

苹果2025年零日漏洞时间线：

2025年全年，苹果修复了七个零日漏洞：CVE-2025-24085、CVE-2025-24200、CVE-2025-24201、CVE-2025-31200、CVE-2025-31201、CVE-2025-43200和CVE-2025-43300。

这种升级表明攻击者对苹果平台的关注度日益提高，且其拥有复杂的威胁研究能力。

微软视窗系统：遭受围攻的企业级操作系统

2025年5月零日漏洞集群

微软2025年5月的“周二补丁日”修复了5个正在被积极利用的零日漏洞，这是近期记忆中最重大的月度零日漏洞披露事件之一。

这些漏洞涉及多个Windows组件，并可能导致从权限提升到远程代码执行等多种攻击后果。

严重的Windows零日漏洞：

1. CVE-2025-30397——脚本引擎内存损坏（CVSS 7.5）
2. CVE-2025-30400——桌面窗口管理器权限提升（CVSS 7.8）
3. CVE-2025-32701——通用日志文件系统驱动程序权限提升（CVSS 7.8）
4. CVE-2025-32706——Windows CLFS驱动程序权限提升（CVSS 7.8）
5. CVE-2025-32709——Windows辅助功能驱动程序权限提升（CVSS 7.8）

CVE-2025-53779：Kerberos身份验证绕过

微软2025年8月的“周二补丁日”包含了CVE-2025-53779，这是一个公开披露的零日漏洞，影响Windows的Kerberos认证。

这个权限提升漏洞由Akamai研究员尤瓦尔·戈登发现，源于相对路径遍历，可能导致Active Directory域被攻陷。

Kerberos漏洞详情：

• CVSS评分：7.2
• 组件：Windows Kerberos
• 技术名称：BadSuccessor
• 影响：通过dMSA对象滥用导致Active Directory域受损

CVE-2025-29824：CLFS漏洞利用导致勒索软件攻击

微软威胁情报部门发现了对CVE-2025-29824的入侵后利用行为，这是Windows通用日志文件系统（CLFS）中一个零日权限提升漏洞。

Storm-2460威胁组织将此漏洞与PipeMagic恶意软件配合使用，积极开展勒索软件部署活动。

CLFS零日攻击活动：

• 威胁行为体：Storm-2460
• 恶意软件家族：PipeMagic后门程序
• 攻击结果： RansomEXX勒索软件部署
• 目标行业：信息技术、房地产、金融、软件、零售

Sitecore：ViewState反序列化攻击

CVE-2025-53690：ViewState零日漏洞利用

谷歌旗下的Mandiant成功挫败了一场通过CVE-2025-53690针对Sitecore产品发起的活跃ViewState反序列化攻击。

这种零日漏洞通过对ViewState数据的不当处理实现远程代码执行，尤其影响那些使用公开文档中暴露的示例密钥的部署。

Sitecore攻击链：

• 初始访问：ViewState反序列化漏洞
• 部署的恶意软件：WEEPSTEEL侦察工具
• 持久化工具：EARTHWORM隧道、DWAGENT远程访问
• 侦察：SHARPHOUND活动目录枚举

从初步入侵到权限提升的复杂攻击过程，展示了威胁攻击者对所利用的漏洞和目标环境的深刻理解。

2025年的零日漏洞形势标志着网络安全领域的一个转折点，其特点是前所未有的利用速度、复杂的攻击链以及广泛的目标多样性。

从Chrome浏览器到企业级SAP系统，没有任何技术栈能对决心坚定的攻击者免疫。

在苹果、谷歌、微软、思杰等主要供应商中，这种一致的漏洞利用模式凸显了现代零日攻击活动的系统性。

组织必须认识到，零日漏洞利用已不再是偶发事件，而是威胁环境中的常规组成部分。

在这种环境下取得成功，需要超越传统的“补丁加祈祷”式方法，转向全面的纵深防御策略——这种策略假定已发生入侵，并专注于检测、遏制和快速响应。

2025年零日攻击活动带来的教训很明确：攻击者的行动速度更快，目标平台更加多样化，且所采用的技术也日益复杂。

防御者必须以同样复杂的防御能力、行业协作以及向旨在抵御未知威胁的主动安全架构的根本性转变来应对这种演变。

随着我们迈入2025年，网络安全界必须继续适应这一新现实：零日漏洞利用不仅可能发生，而且极有可能发生。这要求在所有技术平台和组织边界范围内保持持续警惕，并不断提升防御能力。