2025 Zero-Days w praktyce: co naprawdę zmienia raport Google GTIG i jak przygotować się na 2026

Wprowadzenie do problemu / definicja luki

Zero-day (0-day) to podatność, która jest aktywnie wykorzystywana “w dziczy” zanim publicznie pojawi się łatka (albo zanim obrońcy zdążą ją szeroko wdrożyć). Google Threat Intelligence Group (GTIG) w swoim przeglądzie podsumowuje, jak wyglądał ekosystem eksploatacji 0-day w całym 2025 roku — i dlaczego dla wielu organizacji największy ciężar ryzyka przesuwa się z “typowych” endpointów na warstwę enterprise (edge, urządzenia sieciowe, appliance, krytyczne aplikacje).

W skrócie

Najważniejsze tezy z raportu GTIG (i dlaczego są istotne operacyjnie):

• 90 podatności 0-day ujawnionych w 2025 zostało wg GTIG wykorzystanych jako zero-day.
• Prawie połowa dotyczyła środowisk firmowych: 43 (48%) 0-day w oprogramowaniu i urządzeniach enterprise (wzrost względem 2024).
• Najczęściej eksploatowaną kategorią były systemy operacyjne (desktop + mobile): 39 przypadków (44%).
• W mobile widać wzrost: 15 0-day vs 9 rok wcześniej, przy czym w praktyce często są to łańcuchy exploitów (kilka CVE na jeden “cel” ataku).
• GTIG podkreśla rosnącą rolę Commercial Surveillance Vendors (CSV) — po raz pierwszy (w ich ujęciu) przypisano im więcej 0-day niż “klasycznym” grupom państwowym od cyberwywiadu.
• Równolegle rośnie tempo “wczesnej” eksploatacji: analiza VulnCheck wskazuje, iż 28,96% podatności z list KEV (u nich) miało oznaki wykorzystania w dniu publikacji CVE lub wcześniej.

Kontekst / historia / powiązania

Raport GTIG wpisuje się w trend, który obrońcy widzą od kilku lat: liczba 0-day nie eksploduje liniowo, ale utrzymuje się na podwyższonym “plateau” (GTIG wskazuje wahania w granicach ~60–100 rocznie w ostatnich latach, wyżej niż przed 2021).

Nowość polega na dystrybucji celów i dostępu do exploitów:

• Enterprise/edge daje atakującym ogromny zwrot: jeden udany exploit w urządzeniu brzegowym lub komponencie sieciowym może oznaczać dostęp do wielu segmentów naraz. GTIG zwraca uwagę, iż w 2025 aż ok. połowa enterprise 0-day dotyczyła security & networking (wskazując na typowe klasy błędów jak brak walidacji wejścia i niedomknięte autoryzacje).
• Proliferacja narzędzi eksploatacji: osobny materiał GTIG o exploicie “Coruna” pokazuje, jak zaawansowany zestaw exploitów potrafi “krążyć” między aktorami (od klienta firmy surveillance, przez operacje wywiadowcze, po kampanie masowe), co obniża barierę wejścia.

Analiza techniczna / szczegóły luki

GTIG nie opisuje “jednego CVE”, tylko krajobraz. Kilka wątków technicznych z największym znaczeniem dla SOC/Vuln Mgmt:

1. Enterprise: dlaczego “security & networking” tak często pęka?

GTIG wskazuje, iż w produktach enterprise (szczególnie security/networking) powtarzają się fundamentalne problemy inżynieryjne:

• braki walidacji danych wejściowych,
• niepełne sprawdzanie uprawnień / błędna autoryzacja,
• podatności w miejscach, które naturalnie mają wysokie uprawnienia i są wystawione na ruch zewnętrzny.

Efekt: choćby “pojedynczy” błąd w takim komponencie bywa dla atakującego równoważny ze zdalnym przełamaniem perymetru.

2. End-user: OS i mobile jako stały silnik 0-day

Wzrost udziału OS (44%) oraz liczby mobile 0-day (15) jest istotny z dwóch powodów:

• ataki na OS często wspierają EoP / persistence / credential access,
• w mobile rośnie znaczenie łańcuchów exploitów (kilka podatności po to, by ominąć kolejne warstwy mitigacji).

3. Komercyjny rynek exploitów (CSV) i “druga ręka”

Jeśli exploit-kit potrafi przejść z operacji “premium” do szerszego użycia, organizacje muszą zakładać krótszy czas od “capability discovery” do “capability commodity”. Przykład Coruna pokazuje właśnie taki wektor: te same techniki mogą zostać gwałtownie przejęte, zmodyfikowane i użyte przez innych aktorów.

Praktyczne konsekwencje / ryzyko

Co z tego wynika dla firm (bez względu na branżę):

1. Patch management musi wyjść poza endpointy. Skoro ~48% 0-day dotyka enterprise, krytyczne stają się cykle aktualizacji: urządzeń brzegowych, appliance, VPN, systemów sieciowych, middleware i kluczowych aplikacji.
2. Okno reakcji się kurczy. o ile znacząca część podatności jest eksploatowana bardzo wcześnie (czasem przed formalnym “dniem CVE”), strategia “łatamy w kwartale” przestaje mieć sens dla klas high-risk.
3. Ryzyko nie jest już tylko “państwowe”. GTIG wskazuje rosnącą rolę CSV i zauważalną aktywność grup finansowych (w raporcie: 9 0-day przypisanych do motywacji finansowej). To zwiększa prawdopodobieństwo, iż 0-day dotknie też cele “nie-geopolityczne”.

Rekomendacje operacyjne / co zrobić teraz

Poniżej praktyczny zestaw działań, które dobrze mapują się na wnioski GTIG:

1. Priorytetyzacja “exploited-in-the-wild” jako osobna ścieżka

• Wdróż regułę: KEV / exploited-in-the-wild → tryb pilny (SLA w dniach, nie tygodniach).
• Automatyzuj zasilanie procesu danymi z oficjalnych feedów (np. repo z danymi KEV na GitHub, które CISA utrzymuje jako mirror).

2. Twarde zabezpieczenie warstwy edge i urządzeń “security & networking”

• Inwentaryzacja + ekspozycja: co jest publicznie wystawione, na jakich wersjach, z jakim supportem.
• Segmentacja i ograniczenie zarządzania: management plane tylko z sieci admin/PAW, MFA, allowlisty.
• Telemetria: logi z urządzeń brzegowych do SIEM, korelacja z IOC/TTP.

3. Mobile i przeglądarki: polityki, które redukują skutki łańcuchów exploitów

• MDM/MAM, wymuszanie aktualizacji OS, blokady dla starych wersji.
• Dla profili wysokiego ryzyka: rozważ tryby “hardening” (np. restrykcyjne konfiguracje przeglądarki, ograniczenia instalacji profili, minimalizacja uprawnień aplikacji).

4. Przygotowanie na przyspieszenie “cyklu exploit”

GTIG prognozuje, iż AI przyspieszy rekonesans, discovery i development exploitów, co dołoży presji obrońcom w detekcji i reakcji. W praktyce oznacza to:

• większy nacisk na monitorowanie anomalii i szybkie containment,
• “shift-left” w SDLC (SAST/DAST, fuzzing, testy regresji bezpieczeństwa),
• ćwiczenia IR pod scenariusze: 0-day w edge + lateral movement.

Różnice / porównania z innymi przypadkami

• 2024 vs 2025: GTIG wskazuje wzrost z 78 do 90 0-day i dalszy wzrost udziału enterprise (z 46% do 48%).
• Endpointy vs enterprise: mimo iż OS przez cały czas dominuje jako kategoria (44%), proporcja enterprise utrzymuje się wysoko i jest opisana jako zmiana strukturalna, a nie “odchył”.
• Proliferacja capability: przykład Coruna dobrze ilustruje, iż “najdroższe” techniki nie muszą zostać niszowe na długo.

Podsumowanie / najważniejsze wnioski

Raport GTIG za 2025 rok sprowadza się do jednej, niewygodnej prawdy: organizacje nie przegrywają już dlatego, iż nie patchują endpointów — tylko dlatego, iż nie potrafią gwałtownie i konsekwentnie zabezpieczać enterprise/edge.

Jeśli masz zrobić trzy rzeczy po tej lekturze:

1. ustaw osobny, ekspresowy tor dla “exploited-in-the-wild”,
2. potraktuj urządzenia brzegowe i security/networking jak Tier-0,
3. skróć cykl reakcji (telemetria + IR), bo okno na “bezpieczne łatki” się zamyka.

Źródła / bibliografia

1. Google Cloud Blog (GTIG) — Look What You Made Us Patch: 2025 Zero-Days in Review (Google Cloud)
2. SecurityWeek — omówienie danych z raportu GTIG (liczby, trendy) (SecurityWeek)
3. Google Cloud Blog (GTIG) — Coruna: The Mysterious Journey of a Powerful iOS Exploit Kit (Google Cloud)
4. VulnCheck — State of Exploitation 2026 (wnioski o tempie eksploatacji/KEV) (VulnCheck)
5. CISA (mirror danych) — repozytorium cisagov/kev-data (GitHub)