Уязвимости нулевого дня представляют собой наиболее опасный класс рисков в сфере кибербезопасности. В отличие от известных уязвимостей, уязвимости нулевого дня используются до того, как разработчики или специалисты по кибербезопасности узнают об их существовании, из-за чего у организаций практически не остается времени на защиту, - делится своими знаниями Ampcuscyber.
Для современных специалистов по информационной безопасности задача уже не сводится к простому устранению уязвимостей.
Стратегическая задача состоит в том, чтобы предвидеть, как злоумышленники будут использовать в своих целях неизвестные уязвимости в сложных корпоративных экосистемах, охватывающих облачную инфраструктуру, платформы идентификации, системы искусственного интеллекта и мобильные устройства.
Эта опасность становится системным операционным риском для предприятий, обусловленным расширением цифровой инфраструктуры, коммерциализацией рынков уязвимостей и стремительным развитием систем на основе искусственного интеллекта.
Понимание этих структурных изменений крайне важно для специалистов по безопасности, которые готовят свои программы защиты к следующему этапу развития киберугроз.
Эксплуатация уязвимостей нулевого дня превратилась из редких резонансных инцидентов в постоянный элемент ландшафта угроз.
Исследования в области безопасности, проведенные в 2024 и 2025 годах, показывают явную тенденцию к росту активности по эксплуатации уязвимостей. В 2025г было зафиксировано почти 90 случаев активной эксплуатации уязвимостей нулевого дня, что продолжает тенденцию, наметившуюся после 2021г. Однако более важный показатель это то, на что нацелены эти уязвимости.
В 2024г около 44 % уязвимостей нулевого дня были нацелены на корпоративные технологии, в том числе на VPN-устройства, шлюзы безопасности, платформы виртуализации и инфраструктуру идентификации. В 2025 году эта тенденция усилилась, поскольку злоумышленники переключились с защищенных потребительских платформ на корпоративную инфраструктуру.
Данные о таргетировании со стороны поставщиков подтверждают эту закономерность. Наибольшая доля эксплуатируемых уязвимостей приходится на платформы Microsoft, за которыми следуют экосистемы Google и Apple.
Для специалистов это свидетельствует о фундаментальном сдвиге: основная корпоративная инфраструктура стала главным полем битвы за уязвимости нулевого дня.
Одним из наиболее значимых изменений в сфере эксплуатации уязвимостей нулевого дня является растущее внимание к периферийной инфраструктуре. Злоумышленники все чаще атакуют такие технологии, как VPN-шлюзы, межсетевые экраны, системы идентификации и доступа, инфраструктуру безопасного удаленного доступа и периферийные сетевые устройства.
Продукты таких производителей, как Ivanti, Fortinet и Cisco, неоднократно становились объектами крупных хакерских атак. Пограничные устройства представляют собой особую группу риска, поскольку зачастую не имеют функций обнаружения конечных точек, генерируют ограниченное количество логов, располагаются непосредственно на сетевом периметре и обеспечивают привилегированный доступ во внутренние среды.
Благодаря этим характеристикам они становятся идеальными точками бесшумного проникновения для опытных злоумышленников. Для служб безопасности это означает, что традиционных стратегий мониторинга конечных точек недостаточно. Необходимо обеспечить видимость сетевой инфраструктуры и смежных систем идентификации, которые исторически подвергались меньшему контролю.
Вот еще такая скучная информация.
Брокеры уязвимостей телефонов (эксплоит-брокеры) это коммерческие компании, которые скупают у исследователей безопасности приватные уязвимости «нулевого дня» (Zero-Day) для iOS и Android, а затем перепродают их спецслужбам, правительственным ведомствам и коммерческим поставщикам шпионского ПО (таким как NSO Group).
Стоимость полноценных цепочек взлома (Full-Chain) для мобильных телефонов на этом рынке является самой высокой в ИБ-индустрии и доходит до 5–7 миллионов долларов.
Крупнейшие международные брокеры уязвимостей
Zerodium - самый известный и медийный брокер (основан Чауки Бекраром). Публикует открытый прайс-лист. Готов платить до $ 2,5 млн за постоянный удаленный взлом Android без участия пользователя (Zero-click) и до $2 млн за аналогичный взлом iOS.
Crowdfense - крупный брокер со штаб-квартирой в ОАЭ. Официально заявляет, что работает только в рамках закона с государственными структурами. Их публичный прайс-лист предлагает рекордные $ 5–7 млн за Zero-click цепочки для iPhone и до $ 5 млн для Android-устройств.
Operation Zero - российская платформа ofenssive-безопасности, ориентированная на локальный рынок и дружественные страны. Компания заявляла о готовности платить до $2 0 млн за критические цепочки эксплоитов для мобильных ОС.
Advanced Security Solutions - ещё один ближневосточный брокер (ОАЭ), вышедший на рынок с крупными бюджетами (до $20 млн за эксклюзивные эксплоиты для смартфонов).
Что именно они покупают?
Брокеров интересуют не просто отдельные баги, а готовое "кибероружие":
- Zero-click (Взлом в 0 кликов) - атака через скрытое SMS, iMessage или WhatsApp, которая заражает телефон без каких-либо действий со стороны владельца.
- One-click (Взлом в 1 клик) - переход пользователя по зараженной ссылке в браузере (Safari/Chrome), запускающий цепочку повышения привилегий.
- Persistence (Закрепление в системе) - способность эксплоита оставаться на устройстве и собирать данные даже после перезагрузки телефона.
В чем отличие от Bug Bounty?
В отличие от официальных программ Bug Bounty от Apple или Google (где уязвимости закрываются патчами), брокеры покупают информацию в абсолютную собственность. Разработчик уязвимости подписывает соглашение о неразглашении (NDA), а баг остается неисправленным (0-day) годами, пока его используют покупатели брокера.
Интересный канал "Вместо блумберга"
Забавный канал "Смешные картинки"