Отчёт Google Cloud: время от раскрытия уязвимости до массовой эксплуатации сократилось с недель до дней

Отчёт Cloud Threat Horizons (март 2026) команды безопасности Google Cloud на основе наблюдений за вторым полугодием 2025 года констатирует резкое ускорение атак: время между публичным раскрытием уязвимости и началом массовой эксплуатации сократилось примерно в десять раз — с недель до дней. Это означает, что традиционные циклы обновления и ручного реагирования уже не успевают закрыть окно риска, и пострадать могут тысячи инсталляций стороннего ПО до того, как появится патч или он будет повсеместно внедрён.

Отчёт приводит конкретные примеры ускорения эксплойтов. Критическая уязвимость удалённого выполнения кода в React Server Components (CVE-2025-55182, известная как React2Shell) стала объектом активных атак в течение 48 часов после публичного раскрытия. Другой случай — RCE в XWiki Platform (CVE-2025-24893): патч был выпущен в июне 2024 года, но из‑за низкой скорости распространения обновлений злоумышленники начали активную эксплуатацию только в ноябре 2025 года, что привело к длительным последствиям для уязвимых инсталляций.

Отдельно в документе разбирают сложную кампанию по взлому Kubernetes‑нагрузок, приписываемую группе UNC4899, предполагаемо поддерживаемой государством (вероятно — Северной Кореей). Сценарий включал цепочку социальных манипуляций и технических ухищрений: злоумышленники распространяли архив под видом сотрудничества по OSS, добивались переноса файла с личного на корпоративный компьютер через Airdrop, взаимодействовали с вредоносным кодом в AI‑помогающем IDE, а затем запускали подменённый бинарь, маскирующийся под kubectl. Установленный бэкдор связывался с контролируемыми доменами и использовался для кражи миллионов долларов в криптовалюте.

Документ отмечает сдвиг тактики злоумышленников: вместо прямых атак на «ядро» облачных провайдеров (GCP, AWS, Azure) они всё чаще нацеливаются на сторонние компоненты и зависимости, которые клиенты разворачивают быстрее и контролируют хуже. В списке угроз — и киберпреступные группы, и государственные акторы; приоритет смещается к автоматизированному сканированию и хищению данных, причём ИИ ускоряет как нахождение целей, так и генерацию полезных эксплойтов. В ответ Google Cloud рекомендует внедрять ИИ‑дополненные автоматические средства защиты для сокращения времени реакции и масштабирования обнаружения аномалий: автоматическое сканирование зависимостей, оркестрация патчей, рантайм‑защита и оперативное реагирование. В отчёте прямо указывается необходимость «более автоматических оборонительных мер» как реакции на ИИ‑ускоренные атаки.

Для инженеров и команд безопасности отчёт формулирует приоритеты: управление сторонними зависимостями и быстрая установка патчей; интеграция сканеров уязвимостей в CI/CD; контроль переносов файлов и использование Airdrop в корпоративной среде; аудит расширений и автокомплитов в IDE; развертывание рантайм‑контролей и поведенческого обнаружения, защищающих от цепочек типа supply‑chain‑to‑kubectl. Эти шаги направлены на сокращение окна для атак и снижение риска масштабных компрометаций.