Почти половина атак на сетевой периметр связана с устаревшими устройствами
Почти половина уязвимостей в сетевых устройствах, которые используются в атаках, связана с оборудованием с истекшим или завершающимся сроком поддержки. Ботнеты целенаправленно используют такие системы, а значительная часть атак не попадает в базы вроде CISA KEV. При этом эксплуатация уязвимостей часто начинается раньше их официальной регистрации. Основные выводы из отчета компании VulnCheck в материале SecPost.
Значительная часть уязвимостей в сетевых устройствах, которые активно эксплуатировались в 2025 году, приходится на оборудование, снятое с поддержки или близкое к этому состоянию. Такие оценки приводит компания VulnCheck, специализирующаяся на исследовании уязвимостей и их эксплуатации, в отчете «2026 State of Exploitation: Exploring the Network Edge». В выборку вошла 181 уязвимость с подтвержденной эксплуатацией, и анализ показывает: устаревшая техника продолжает использоваться в инфраструктуре и остается устойчивой точкой входа для атак.
Сетевой периметр как зона повышенного риска
Сетевые устройства на границе инфраструктуры остаются удобной целью для атак — на это указывают результаты анализа VulnCheck. В исследовании используется собственный каталог VulnCheck KEV (Known Exploited Vulnerabilities — перечень уязвимостей с подтвержденной эксплуатацией), который включает данные о реальных атаках. Они доступны из интернета, массово развернуты и часто обновляются нерегулярно. В отличие от серверов и корпоративных систем, такие устройства могут годами работать без обновлений, что упрощает их эксплуатацию.
Наиболее уязвимым сегментом остаются потребительские сетевые устройства — прежде всего маршрутизаторы. Они широко используются в домашних сетях и небольших офисах, а также в сценариях удаленной работы. В отчете обращают внимание, что организации часто не контролируют их состояние, хотя через такие устройства проходит корпоративный трафик. В результате они становятся удобной точкой входа для атак, включая массовые кампании с использованием ботнетов.
Какие устройства атакуют: смещение в сторону массового сегмента
Наибольшая доля атак приходится на потребительские сетевые устройства — прежде всего маршрутизаторы. По данным VulnCheck, на такие устройства приходится 56% уязвимостей, которые используются в атаках на сетевой периметр.
Анализ распределения по типам устройств показывает, что помимо маршрутизаторов в атаках регулярно фигурируют межсетевые экраны, системы управления сетью, VPN-шлюзы и другие компоненты периметра. При этом именно массовые модели, широко используемые в домашних сетях и небольших офисах, формируют основную поверхность атаки.
В отчете подчеркивается, что это смещает фокус угроз: помимо корпоративной инфраструктуры атакуются устройства, через которые сотрудники подключаются к рабочим системам из дома или филиалов. Такие сегменты хуже контролируются и обновляются, что делает их удобной точкой входа для атакующих.
Устаревшие устройства как ключевой фактор риска
Основная часть атак на сетевой периметр связана с устаревшей инфраструктурой. 42,5% уязвимостей, которые используются в атаках, затрагивают устройства, уже снятые, согласно данным отчета, с поддержки или близкие к этому состоянию. Еще 4,4% приходятся на решения, снятые с продажи и приближающиеся к завершению жизненного цикла.
Такие устройства остаются в эксплуатации даже после окончания поддержки и формируют устойчивую поверхность атаки. Это касается как массовых потребительских решений, так и отдельных корпоративных систем, которые продолжают использоваться без обновлений.
Ботнеты и целевые атаки: разные модели эксплуатации
Часть атак на сетевой периметр носит массовый характер и реализуется через ботнеты. В 2025 году на такие кампании пришлось 19% уязвимостей из выборки. При этом 65% из них затрагивают устройства, снятые с поддержки или близкие к этому состоянию.
Целевые атаки, включая кампании с использованием программ-вымогателей, строятся иначе. Они связаны с корпоративными устройствами периметра и не пересекаются с ботнет-активностью в рамках рассмотренной выборки. Это показывает, что массовые и направленные атаки используют разные классы оборудования.
Ограниченная видимость угроз: почему CISA KEV показывает не все
Значительная часть эксплуатируемых уязвимостей не отражается в публичных базах. Из 181 уязвимости в сетевых устройствах только 23,7% присутствуют в каталоге CISA KEV (Known Exploited Vulnerabilities — перечень уязвимостей с подтвержденной эксплуатацией, который ведет Агентство по кибербезопасности и инфраструктурной безопасности США).
Это связано с несколькими факторами. Часть устройств ориентирована на рынки вне США и выпадает из поля зрения CISA. Для устаревших решений часто отсутствуют исправления, что снижает вероятность их включения в каталог. Кроме того, потребительские устройства реже используются в федеральных инфраструктурах.
В результате такие источники, как VulnCheck KEV, дают более широкое представление об эксплуатации уязвимостей на сетевом периметре, включая массовые и глобально распределенные атаки.
География производителей и особенности уязвимостей
Анализ показывает различия между потребительскими и корпоративными устройствами по происхождению. В первом случае речь чаще идет о продуктах компаний из Китая, во втором — о решениях производителей из США.
Для массовых устройств характерна ограниченная поддержка: обновления выходят нерегулярно, а информация об уязвимостях раскрывается не всегда. В отчете обращают внимание, что такие уязвимости часто выявляются сторонними исследователями, а не самими вендорами. Это снижает видимость атак и затрудняет оценку их масштабов, особенно в сегменте недорогих и широко распространенных устройств.
Почему эксплуатация «запаздывает»: проблема обнаружения
Срок между появлением уязвимости и фиксацией ее эксплуатации может выглядеть значительным, особенно для потребительских устройств и решений отдельных производителей. Однако анализ показывает, что это связано не столько с реальной задержкой атак, сколько с ограниченной видимостью таких инцидентов.
Недостаток публичных данных, слабые практики раскрытия уязвимостей и низкая активность производителей в коммуникации приводят к тому, что факты эксплуатации становятся известны с опозданием.
Эксплуатация раньше регистрации: атаки опережают учет
В ряде случаев эксплуатация уязвимостей начинается еще до их официальной регистрации. В ходе исследования VulnCheck присвоила идентификаторы CVE (Common Vulnerabilities and Exposures — международная система учета уязвимостей) для 18 уязвимостей уже после обнаружения их использования в атаках.
Такие уязвимости выявлялись на основе анализа реальной активности — в том числе через ловушки (honeypots) и специализированные системы мониторинга. Это показывает, что формальные механизмы учета отстают от практики эксплуатации, а атаки могут происходить до появления публичной информации об уязвимости.
Как определяется статус устройств
В отчете используются несколько категорий жизненного цикла устройств. К устаревшим (end of life, EOL) относят решения, официально снятые с поддержки или не получавшие обновлений более пяти лет. К категории likely EOL — устройства без обновлений более двух лет. Отдельно выделяются решения, снятые с продажи (end of sale, EOS), и поддерживаемые устройства, для которых обновления выходили в последние два года.
Практические выводы для компаний
В отчете рекомендуют по возможности выводить из эксплуатации решения, снятые с поддержки, и учитывать риски потребительских устройств, через которые сотрудники подключаются к корпоративным системам. Важно учитывать подходы вендоров к безопасности — раскрытие уязвимостей, фиксацию эксплуатации и актуальность данных о жизненном цикле продуктов. Для оценки угроз требуется использовать более широкий набор источников, чем только публичные каталоги.
Отчет «2026 State of Exploitation: Exploring the Network Edge» доступен по ссылке.
Читайте также
