Des recherches récentes sur les KEV et les CVE montrent que les acteurs de la menace capitalisent beaucoup plus rapidement sur les défauts, laissant les défenseurs qui ont besoin d’une amélioration des régimes de détection et de correction.
Le correctif des fenêtres pour les organisations continue de raccourcir, alors que les acteurs de la menace exploitent des vulnérabilités importantes de plus en plus rapidement. Selon le récent rapport de Vulncheck, un tiers des défauts tirés par les attaquants cette année ont été nuls ou 1 jour. Avec si peu d’avertissement avancé, les défenseurs doivent investir davantage dans la détection et la surveillance de l’exploit et s’assurer qu’ils gardent des correctifs importants.
« Nous avons observé une augmentation de 8,5% du pourcentage de KEV (vulnérabilités exploitées connues) qui avaient des preuves d’exploitation divulguées au plus tard le jour où un CVE a été publié – 32,1% en 1h-2025 par rapport au rapport de 23,6% en 2024 », a écrit les chercheurs de Vulncheck dans le rapport de la société de renseignement de la vulnérabilité.
Dans la première moitié de 2025, VulnCheck a ajouté 432 nouvelles vulnérabilités uniques (CVE) à sa base de données KEV, plus que le triple des 132 CVE ajoutés par l’agence américaine de sécurité de cybersécurité et d’infrastructure (CISA) à son catalogue KEV au cours de la même période. VulnCheck adopte une approche plus large de la surveillance que la CISA, s’appuyant sur plus de 500 sources d’informations sur la vulnérabilité et exploite les preuves, y compris des services de pot de miel tels que Greynoise et la Fondation ShadowServer.
Par exemple, un audit des données ShadowServer en juin a révélé des preuves d’exploitation de plus de 32 nouvelles vulnérabilités qui n’avaient pas encore ID CVE attribuée par Mitre, ce qui est une exigence d’inclusion dans le catalogue CISA KEV. En outre, un tiers des KEV détectés en 2025 attendaient toujours une analyse par le NIST pour inclusion dans la base de données nationale de vulnérabilité (NVD), bien qu’il ait déjà reçu des ID CVE.
Le NVD, destiné à fournir des détails enrichis et un contexte autour de CVE, a été confronté à un arriéré paralysant.
Les systèmes de gestion de contenu et les appareils à bord de réseau sont en cours dans KEVS
Au cours de la première moitié de 2025, les systèmes de gestion de contenu (CMES) avaient le plus grand nombre de KEV, à 86 ans, dont un nombre significatif provenait de plug-ins WordPress.
La deuxième catégorie la plus touchée était les dispositifs de bord de réseau avec 77 KEV. Cette catégorie comprend les appareils de sécurité des réseaux, les routeurs, les pare-feu et les passerelles VPN, qui ont été une cible croissante au cours des deux dernières années, en particulier pour les groupes de cyberespionnage nationaux.
Le logiciel serveur (61 KEV), les logiciels open source (55) et les systèmes d’exploitation (38) complètent les cinq catégories les plus ciblées, avec des appareils matériels – y compris les systèmes de caméras, les DVR, les NVR, les téléphones IP et d’autres appareils intégrés – à venir en sixième. VulnCheck note que de nombreux défauts de la catégorie des périphériques matériels provenaient des données d’attaque collectées par ShadowServer, soulignant que l’exposer de tels appareils directement à Internet n’est jamais une bonne idée.
En termes de fournisseurs, Microsoft était le plus ciblé, avec 32 KEV, dont 26 pour Windows, suivi par Cisco (10), et Apple, Totolink et VMware, chacun avec six KEV. Il convient de noter que tous les nouveaux KEV ne sont pas de nouvelles vulnérabilités. Alors que 1 sur 3 était zéro-jours ou 1 jour, beaucoup sont des vulnérabilités plus anciennes qui ont commencé à être exploitées en 2025, les mettant sur la nouvelle liste KEV.
De plus, certains jours zéro divulgués en 2025 avaient des preuves d’exploitation datant de 2024 mais ont volé sous le radar. Ce fut le cas pour 147 des 181 CVE uniques qui ont été exploités par des acteurs de menace connus – regroupe que l’industrie connaît et suit sous divers alias.
L’activité de menace russe et iranienne augmente
L’industrie de la sécurité n’attribue que certains des exploits nouvellement découverts à des groupes d’attaquants connus, et seuls certains de ces groupes ont des pays d’origine connus. En conséquence, les statistiques sur l’origine des attaques ne sont pas parfaites.
Au cours de la première moitié de 2025, 181 de CVE ajoutés à la base de données KEV par Vulncheck ont été attribués à 92 acteurs de menace connus sur la base de rapports de l’industrie. Parmi ces groupes, seulement 56 avaient un pays d’origine qui leur était attribué.
« Si nous regardons les acteurs de la menace par un pays attribué, nous voyons rapidement que les suspects habituels – la Chine (20), la Russie (11), la Corée du Nord (9) et l’Iran (6) – ont le plus grand nombre de groupes d’acteurs de menace actifs », ont conclu les chercheurs de vulncheck. «Ces pays sont connus pour leur cyber-espionnage et leurs cyber-activités, souvent appelés les quatre cavaliers.»
Malgré la Chine qui mène toujours dans le nombre de groupes individuels qui exploitent les KEV, leurs attributions cumulatives KEV en 2025 ont diminué par rapport à 2024 sur la base des données de Vulncheck. Pendant ce temps, l’activité des groupes russes a augmenté. Et tandis que les attributions KEV de la Corée du Nord ont également chuté par rapport à l’année dernière, l’Iran a augmenté. Ces changements, cependant, peuvent être influencés par le moment des rapports de l’industrie.
Par exemple, l’augmentation de 2025 de l’attribution iranienne semble être liée à un rapport de juin de la société de sécurité Tenable, qui a attribué 29 KEV aux acteurs iraniens de la menace. De même, la pointe de l’attribution nord-coréenne KEV en 2024 pourrait être liée à un rapport conjoint publié par les agences gouvernementales des États-Unis, du Royaume-Uni et de la Corée du Sud, dans lesquelles 44 nouveaux KEV ont été attribués à un groupe parrainé par l’État nord-coréen suivi comme silencieux Chollima ou Andariel.
« Le pic dans l’attribution russe n’est pas lié à des rapports et à l’attribution spécifiques est largement réparti entre les sources, ce qui souligne à nouveau la Russie continue d’être une force majeure derrière l’activité des menaces et l’exploitation de la vulnérabilité », a déclaré Vulncheck.
