گزارش «VulnCheck State of Exploitation 2026» نشان میدهد در سال ۲۰۲۵ مجموعاً ۸۸۴ آسیبپذیری که شواهد بهرهبرداری فعال داشتند شناسایی شد و حدود ۲۹ درصد آنها در همان روز انتشار شناسه CVE مورد سوءاستفاده قرار گرفتند.
گزارش «VulnCheck State of Exploitation 2026» تصویری از روند بهرهبرداری از آسیبپذیریهای امنیتی در سال ۲۰۲۵ ارائه میدهد. طبق این گزارش، در مجموع ۸۸۴ آسیبپذیری با شواهد بهرهبرداری فعال شناسایی شد. حدود ۲۸.۹۶ درصد از این موارد در همان روز انتشار شناسه CVE یا حتی پیش از آن مورد بهرهبرداری قرار گرفتند؛ رقمی که نسبت به ۲۳.۶ درصد در سال ۲۰۲۴ افزایش یافته است. بیشترین اهداف حملات، دستگاههای لبه شبکه مانند فایروالها، VPNها و پراکسیها بودهاند. این گزارش بر لزوم اصلاح فوری آسیبپذیریهای تازهافشاشده و کاهش تأخیر در مدیریت اصلاحیههای امنیتی تأکید میکند.
افزایش بهرهبرداری سریع از آسیبپذیریها
شرکت امنیت سایبری VulnCheck در گزارش سالانه خود با عنوان State of Exploitation 2026 روند بهرهبرداری از آسیبپذیریهای نرمافزاری در سال ۲۰۲۵ را بررسی کرده است.
طبق این گزارش، در سال ۲۰۲۵ مجموعاً ۸۸۴ آسیبپذیری دارای شواهد بهرهبرداری فعال شناسایی شده است. در ادبیات امنیت سایبری، چنین آسیبپذیریهایی با عنوان Known Exploited Vulnerabilities (KEV) شناخته میشوند؛ یعنی ضعفهای امنیتی که مهاجمان در حملات واقعی از آنها استفاده کردهاند.
تحلیل دادههای این گزارش نشان میدهد ۲۸.۹۶ درصد از این آسیبپذیریها در همان روز انتشار شناسه CVE یا حتی قبل از آن مورد بهرهبرداری قرار گرفتهاند. شناسه CVE (Common Vulnerabilities and Exposures) مرجع استاندارد جهانی برای ثبت و شناسایی آسیبپذیریهای امنیتی است.
این رقم نسبت به سال ۲۰۲۴ که ۲۳.۶ درصد ثبت شده بود افزایش قابل توجهی دارد و نشان میدهد سرعت تبدیل یک آسیبپذیری به ابزار حمله همچنان رو به افزایش است.
زمان بسیار کوتاه بین افشا و حمله
یکی از شاخصهای اصلی بررسی در این گزارش، فاصله زمانی بین انتشار CVE و شروع بهرهبرداری از آسیبپذیری است.
نتایج نشان میدهد بسیاری از مهاجمان حتی پیش از انتشار عمومی اطلاعات آسیبپذیری، به آن دسترسی پیدا میکنند. این وضعیت معمولاً به دو نوع حمله مربوط میشود:
Zero-day
آسیبپذیریهایی که قبل از افشای عمومی مورد بهرهبرداری قرار میگیرند.
N-day
آسیبپذیریهایی که پس از انتشار CVE اما قبل از اعمال بهروزرسانی امنیتی در سیستمها مورد سوءاستفاده قرار میگیرند.
VulnCheck تأکید میکند الگوی زمانی بهرهبرداری در سال ۲۰۲۵ تقریباً مشابه سال ۲۰۲۴ بوده است. این موضوع نشان میدهد مهاجمان بهطور سیستماتیک از آسیبپذیریهای تازه منتشرشده استفاده میکنند.
بیشترین اهداف: تجهیزات لبه شبکه
یکی از مهمترین یافتههای گزارش، نوع فناوریهای هدف قرار گرفته است.
طبق تحلیل VulnCheck، بیشترین آسیبپذیریهای مورد بهرهبرداری مربوط به دستگاههای لبه شبکه (Network Edge Devices) بودهاند، از جمله:
- فایروالها
- VPN Gatewayها
- سرورهای پراکسی
- تجهیزات امنیت شبکه
این تجهیزات معمولاً مستقیماً به اینترنت متصل هستند و به همین دلیل مهاجمان آنها را به عنوان نقطه ورود اولیه به شبکه سازمانها هدف قرار میدهند.
پس از این دسته، بیشترین آسیبپذیریهای مورد بهرهبرداری در این حوزهها دیده شده است:
نقش پژوهشگران و شرکتهای امنیتی در کشف بهرهبرداریها
گزارش VulnCheck نشان میدهد شناسایی حملات تنها به نهادهای دولتی محدود نیست.
در سال ۲۰۲۵:
- ۱۱۸ منبع مستقل برای نخستینبار شواهد بهرهبرداری از آسیبپذیریها را منتشر کردند
- این منابع شامل پژوهشگران امنیتی، شرکتهای امنیت سایبری و فروشندگان نرمافزار بودهاند
صدها سازمان دیگر نیز بعدها اطلاعات تکمیلی درباره همان آسیبپذیریها ارائه کردهاند.
این موضوع نشان میدهد اکوسیستم امنیت سایبری تا حد زیادی به گزارشهای جامعه تحقیقاتی و شرکتهای خصوصی وابسته است.
تفاوت با فهرست KEV سازمان CISA
در گزارش همچنین به تفاوت زمانی میان دادههای VulnCheck و فهرست رسمی KEV اشاره شده است.
فهرست KEV که توسط Cybersecurity and Infrastructure Security Agency (CISA) منتشر میشود، مجموعهای از آسیبپذیریهایی است که در حملات واقعی استفاده شدهاند.
بر اساس یافتههای VulnCheck، در بسیاری از موارد شواهد بهرهبرداری زودتر از اضافه شدن آسیبپذیری به فهرست KEV سازمان CISA شناسایی شده است.
در برخی نمونهها این فاصله زمانی چند روز، چند ماه و حتی چند سال گزارش شده است.
این موضوع برای تیمهای امنیتی اهمیت دارد زیرا دسترسی به اطلاعات سریعتر میتواند به واکنش سریعتر در مدیریت اصلاحیههای امنیتی (Patch Management) کمک کند.
ارتباط با حملات باجافزاری
در بخش دیگری از گزارش آمده است که انتساب حملات باجافزاری به گروههای مشخص معمولاً با تأخیر انجام میشود.
به همین دلیل بسیاری از آسیبپذیریهایی که در سال ۲۰۲۵ مورد بهرهبرداری قرار گرفتهاند، ممکن است در سالهای آینده به کمپینهای باجافزاری خاص نسبت داده شوند.
پیام عملیاتی برای سازمانها
جمعبندی گزارش VulnCheck یک پیام روشن برای تیمهای امنیتی دارد:
سرعت بهرهبرداری از آسیبپذیریها بالا است و فاصله زمانی بین افشا و حمله بسیار کوتاه شده است.
در نتیجه سازمانها باید:
- آسیبپذیریهای بحرانی را بلافاصله پس از انتشار اصلاح کنند
- سیستمهای متصل به اینترنت را در اولویت بهروزرسانی امنیتی قرار دهند
- فهرست KEV و دادههای تهدید را بهصورت مداوم پایش کنند
- تأخیر در فرآیند بهروزرسانی و نصب Patch را کاهش دهند
VulnCheck همچنین اعلام کرده پایگاه داده KEV خود را بهصورت رایگان در اختیار جامعه امنیت سایبری قرار میدهد و قابلیت ارسال هشدار از طریق ایمیل و Slack نیز به این سرویس افزوده شده است.