VulnCheck: w 2025 opublikowano ponad 40 tys. podatności, ale realnie wykorzystano ok. 1% — co to znaczy dla priorytetyzacji łatania?

Wprowadzenie do problemu / definicja luki

W praktyce „zarządzanie podatnościami” coraz rzadziej polega na gonieniu za każdą nową pozycją w CVE/NVD. Liczba nowych podatności rośnie szybciej niż zdolność organizacji do ich weryfikacji, triage i łatania. VulnCheck zwraca uwagę, iż w 2025 roku opublikowano ponad 40 000 nowych podatności, ale potwierdzone wykorzystanie w realnych atakach dotyczyło tylko niewielkiego wycinka — 422 przypadków (~1%).

Kluczowy termin: „exploited in the wild” — dowód, iż podatność faktycznie została użyta przeciw realnym celom (np. telemetria honeypotów, raporty incydentowe, analizy zespołów badawczych), a nie tylko istnieje jako opis/PoC w internecie.

W skrócie

• Skala vs. rzeczywistość: z dziesiątek tysięcy nowych CVE w 2025, VulnCheck wskazuje 422 realnie eksploatowane.
• PoC ≠ exploit: VulnCheck odnotował ponad 14 400 „exploitów” dla 10 480 CVE z 2025, podkreślając, iż część tego wzrostu wiąże się z AI-generowanymi (często mylącymi lub nieskutecznymi) PoC.
• Czas ma znaczenie: w analizie KEV (Known Exploited Vulnerabilities) VulnCheck podaje, iż 28,96% przypadków nosiło ślady wykorzystania w dniu publikacji CVE lub wcześniej (zero-day / pre-disclosure).
• Gdzie biją najczęściej: na liście „routinely targeted” mocno wybijają się technologie edge (firewalle/VPN/proxy) i systemy powszechnie wystawione do internetu.

Kontekst / historia / powiązania

CyberScoop zwraca uwagę na rosnącą frustrację obrońców: klasyczne sygnały priorytetu (np. same oceny CVSS) bywają coraz mniej pomocne, gdy „szum” rośnie szybciej niż zasoby. W komentarzu dla redakcji VulnCheck podkreśla problem: obrońcy często nie wiedzą, na co realnie patrzeć, a stare „półwiarygodne” wskaźniki tracą wartość.

Równolegle CISA prowadzi katalog Known Exploited Vulnerabilities (KEV) — listę podatności potwierdzonych jako wykorzystywane w atakach. Ponieważ główna strona CISA bywa ograniczana technicznie (blokady/limity), CISA utrzymuje też oficjalne pliki danych KEV w repozytorium GitHub, co ułatwia automatyzację i integracje.

Analiza techniczna / szczegóły luki (co tak naprawdę mierzy raport)

Z perspektywy operacyjnej raport VulnCheck jest mniej o „jak działa konkretna podatność”, a bardziej o metrykach eksploatacji i o tym, jak oddzielić:

• Disclosure (CVE opublikowane)
• Exploit availability (PoC / exploit code w obiegu)
• Confirmed exploitation (dowody użycia w realnych kampaniach)

VulnCheck opisuje VEIR jako próbę „odklejenia” zarządzania ryzykiem od czystej objętości CVE i od samej dostępności PoC, na rzecz evidence-driven prioritization.

„Routinely Targeted Vulnerabilities” — co kwalifikuje CVE na listę?

Lista 50 „routinely targeted” zawiera podatności, które:

• były ujawnione i eksploatowane w 2025, oraz
• spełniały kryteria wskazujące na utrzymujące się zainteresowanie atakujących (m.in. wysoka liczba publicznych exploitów, atrybucje do threat actorów/ransomware/botnetów). Dane zestawiono „as of 31 Dec 2025”.

Co ważne: już pierwsze pozycje w tabeli pokazują przewagę problemów w urządzeniach brzegowych (np. SonicWall/Fortinet/Ivanti/PAN-OS) — czyli tam, gdzie kompromitacja daje szybki dostęp do sieci i często świetną „dźwignię” do dalszego ruchu lateralnego.

Praktyczne konsekwencje / ryzyko

1. „Patch everything” przestaje być strategią
   Jeśli 99% nowych CVE nie ma potwierdzonej eksploatacji w danym roku, to próba traktowania wszystkich jednakowo kończy się zaległościami i gaszeniem pożarów.
2. Największe ryzyko bywa na „krawędzi” (edge)
   Raportowanie KEV i lista routinely targeted konsekwentnie premiują systemy wystawione do internetu (VPN, firewalle, bramy, proxy) oraz popularne platformy CMS/OSS.
3. Szybkość eksploatacji wymusza zmianę SLA
   Skoro istotna część podatności bywa wykorzystywana w dniu publikacji CVE lub wcześniej, to proces oparty o „czekamy na pełną analizę/score” jest z definicji spóźniony dla krytycznych ścieżek ataku.
4. AI zwiększa „szum PoC”
   Jeśli wzrost „exploitów” jest napędzany także przez AI-generowane, czasem niepoprawne materiały, zespoły SOC/VM tracą czas na weryfikację fałszywych sygnałów zamiast pracować na potwierdzonych wektorach.

Rekomendacje operacyjne / co zrobić teraz

Poniżej podejście, które da się wdrożyć bez rewolucji narzędziowej:

1. Wprowadź osobny tor „Exploited in the wild”

• Automatycznie taguj CVE obecne w KEV (CISA) oraz w źródłach typu VulnCheck KEV/VEIR.
• Dla tych pozycji ustaw krótsze SLA (np. 24–72h zależnie od ekspozycji).
  Źródło danych KEV (oficjalny mirror): repozytorium CISA na GitHub.

2. Zacznij od ekspozycji, nie od CVSS

• Priorytet: internet-facing + brak kompensacji (WAF/IPS/segmentacja) + krytyczna tożsamość (SSO/VPN) + systemy zarządzające.

3. Wykorzystuj listy „routinely targeted” jako shortlistę do polowań

• 50 CVE „routinely targeted” to dobry kandydat do:
  • przeglądu ekspozycji,
  • reguł detekcji (IDS/EDR),
  • threat huntingu pod IoC/TTP.

4. Zmień KPI programu VM

• Zamiast „% załatanych CVE”, mierz:
  • „czas do załatania exploited-in-the-wild”,
  • „czas do mitigacji na edge”,
  • „pokrycie telemetryczne dla top technologii atakowanych”.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

CISA KEV vs. VulnCheck KEV/VEIR
VulnCheck wskazuje, iż często identyfikuje dowody eksploatacji wcześniej niż katalogi publiczne, a jego analiza ma szersze pokrycie vendorów i produktów (więcej „długiego ogona” enterprise).

W praktyce:

• KEV (CISA) = świetny, konserwatywny baseline do compliance i automatyzacji.
• VEIR/VulnCheck KEV = może szybciej dostarczać sygnał operacyjny i kontekst (atrybucje, trendy, kategorie technologii).

Podsumowanie / najważniejsze wnioski

• W 2025 liczba nowych podatności była ogromna, ale realnie eksploatowany był niewielki procent — i to on powinien napędzać priorytety łatania.
• „Dowód eksploatacji” jest dziś bardziej użyteczny operacyjnie niż sama ocena CVSS, zwłaszcza przy zalewie CVE i „szumie” PoC.
• Największa presja atakujących utrzymuje się na urządzeniach brzegowych i systemach powszechnie wystawionych do internetu.

Źródła / bibliografia

1. CyberScoop: „Vulnerabilities grew like weeds in 2025, but only 1% were weaponized in attacks” (25 lut 2026). (CyberScoop)
2. VulnCheck (press release): „2026 VulnCheck Exploit Intelligence Report (VEIR)…” (25 lut 2026). (VulnCheck)
3. VulnCheck: „State of Exploitation 2026” (21 sty 2026). (VulnCheck)
4. VulnCheck: „2025 Routinely Targeted Vulnerabilities” (lista 50 CVE, dane do 31 gru 2025). (VulnCheck)
5. CISA (mirror danych KEV): repozytorium cisagov/kev-data na GitHub. (GitHub)