Речь идет о сценариях, где злоумышленники получают первичный доступ не через переписку с сотрудниками и фишинговые страницы, а через уже описанные и часто давно исправленные дефекты в публично доступных сервисах, корпоративных веб-приложениях, VPN-шлюзах и средствах удаленной поддержки. Для атакующих это по-прежнему самый стабильный и масштабируемый путь входа: он лучше автоматизируется, меньше «шумит» на уровне пользователя и нередко позволяет обойтись без вовлечения сотрудников.
Аналитики «Информзащиты» отмечают, что тенденция ускорения напрямую связана с ростом технологической зрелости преступных группировок и увеличением количества доступных эксплойтов, которые распространяются в подпольных сообществах и публичных репозиториях вскоре после раскрытия новой уязвимости. Применение автоматизированных инструментов анализа и эксплуатации позволяет злоумышленникам действовать значительно быстрее, чем большинство компаний способны реагировать. Особенно опасно то, что многие атаки начинаются с уже известных CVE, что снижает порог входа и увеличивает число потенциальных нарушителей. На практике «время до эксплуатации» нередко измеряется днями, а иногда и часами, тогда как корпоративные циклы тестирования и внедрения обновлений часто занимают недели. Дополнительный вклад дает массовая автоматизация: сканирование периметра, проверка версий и попытки эксплуатации все чаще выполняются ботнетами и специализированными фреймворками, которые масштабируют атаки почти без участия оператора.
Отдельный фактор риска связан с тем, что значимая доля инцидентов начинается с уже известных CVE, то есть с уязвимостей, для которых патчи и рекомендации по снижению риска давно доступны. Это снижает порог входа, расширяет круг атакующих и делает одинаково уязвимыми как случайные цели, так и организации, представляющие интерес для целевых групп. В качестве ориентира многие команды ИБ используют внешний контурный мониторинг и сопоставление активов с каталогами известных эксплуатируемых уязвимостей, включая рекомендации регуляторов и профильных агентств, которые регулярно публикуют перечни CVE с подтвержденной эксплуатацией.
За последний год в отчетах упоминались такие случаи, как цепочки удаленного выполнения кода в SimpleHelp (CVE-2024-57726/27/28), командные инъекции в BeyondTrust PRA и Remote Support (CVE-2024-12356), SQL-инъекция в Fortinet FortiClient EMS (CVE-2023-48788), некорректная обработка загрузок в продуктах Cleo (CVE-2024-50623) и уязвимость эквивалентности путей Apache Tomcat (CVE-2025-24813). Подобные инциденты часто завершаются получением первоначального доступа к серверу или управляющей консоли, извлечением учетных данных, повышением привилегий и запуском произвольного кода с возможностью дальнейшего перемещения по инфраструктуре. Наиболее чувствительны к этому классу атак