Ataki wykorzystujące podatności pozostają jednym z kluczowych wektorów wejścia (21,3% incydentów), a krajobraz podatności w UE jest silnie zdominowany przez kilku dużych dostawców, przede wszystkim Microsoft. W najnowszym raporcie ENISA „Threat Landscape 2025” z 19 grudnia 2025 r. podkreślono gwałtowny wzrost liczby nowych podatności, ich szybkie wykorzystywanie oraz skoncentrowanie ryzyka ataków na wybranych platformach i produktach. Dlaczego warto czytać raporty ENISA? Bo ENISA to Agencja Unii Europejskiej ds. Cyberbezpieczeństwa, która pełni rolę głównego ośrodka eksperckiego dbającego o wysoki i jednolity poziom bezpieczeństwa cyfrowego we wszystkich państwach członkowskich. Bywa ona też kluczowym punktem odniesienia w dyskusjach, ponieważ dostarcza obiektywnych danych o zagrożeniach, które pozwalają firmom i instytucjom w Europie skutecznie priorytetyzować działania zabezpieczające. ENISA, jako europejski CNA, rozwija Europejską Bazę Podatności (EUVD) i dostarcza przez to możliwie aktualne informacje o lukach cyberbezpieczeństwa i ich wykorzystaniu w Europie.

Skala problemu podatności

W badanym okresie zgłoszono 42 595 nowych podatności, co oznacza wzrost o 27% rok do roku, przy czym znacząca ich część bardzo szybko została wykorzystana w atakach. Wykorzystanie podatności stanowiło 21,3% wektorów pierwszego wejścia do organizacji, często bezpośrednio prowadząc do wdrożenia złośliwego oprogramowania oraz dalszej eskalacji ataku. ENISA podkreśla, że kluczowe dla obrony jest nie tylko samo łatanie systemów, ale zrozumienie kontekstu operacyjnego – czyli tego, w jaki sposób hakerzy łączą konkretne słabości z taktykami i procedurami (TTP) opisanymi w modelu MITRE ATT&CK.

Top 20 dostawców z największą liczbą podatności

ENISA wskazuje rozkład nowych podatności według dostawców oprogramowania i sprzętu. Z raportu wynika, że 20 dostawców o największej liczbie zgłoszonych luk odpowiada łącznie za 29% wszystkich nowo ujawnionych podatności w okresie raportowania. Najpopularniejszym producentem jest Linux, z ponad 4 200 odnotowanymi podatnościami, przy czym ENISA zastrzega, że część tej liczby wynika z polityk nadawania identyfikatorów CVE, obejmujących także poprawki błędów i zmiany w jądrze systemu. Innymi słowy jest miejsce w rankingu jest zawyżone. Wśród komercyjnych dostawców przoduje Microsoft (ponad 1 200 podatności), dalej Adobe (ok. 870), Apple (ok. 690), Google (ok. 560), IBM (ok. 550), Codeproject (481), Source Code (453), PHP Gurkukul (432), Cisco (384), Siemens (329), a następnie mniejsi producenci i projekty open‑source, tacy jak Oracle, Red Hat, Qualcom, Samsung Mobile, Dell, Mozilla, fortinet czy Huawei.

Wysoka liczba podatności nie zawsze przekłada się wprost na wyższe ryzyko – częściowo wynika z dojrzałych procesów zgłaszania i szerokiej powierzchni funkcjonalnej produktów danego dostawcy.

Dostawcy w katalogu znanych wykorzystywanych podatności (CISA KEV)

Raport wskazuje produkty jakich dostawców najczęściej pojawiały się w katalogu CISA Known Exploited Vulnerabilities (KEV). W katalogu tym odnotowano 245 podatności dodanych w okresie objętym corocznym raportem. Największy udział ma Microsoft z 48 podatnościami ujętymi w KEV, co potwierdza, że jego produkty stanowią główny cel dla grup przestępczych i profesjonalnych APT (Advanced Persistent Threats). Na drugim miejscu znajduje się Ivanti (13 podatności), którego luki w systemach VPN i rozwiązaniach zdalnego dostępu były aktywnie wykorzystywane m.in. w atakach na instytucje publiczne, w tym same organy rządowe. Kolejne miejsca zajmują Apple, Palo Alto Networks, Adobe, Linux, VmWare, Fortinet, Cisco oraz kategoria „Others”, każda z nich z 5–8 podatnościami figurującymi w KEV. Wszyscy czołowi wymienieni dostawcy pochodzą ze Stanów Zjednoczonych.

Lista KEV jest o tyle krytyczna, że zawiera wyłącznie podatności z potwierdzonym wykorzystaniem „in the wild”, co czyni wskazanych dostawców szczególnie wrażliwymi z punktu widzenia zarządzania ryzykiem.

Najbardziej niebezpieczni dostawcy z perspektywy UE

ENISA wskazuje także, których dostawców dotyczą podatności rzeczywiście wykorzystywane w atakach na organizacje z państw członkowskich UE. Na podstawie informacji z otwartych źródeł oraz zgłoszeń zespołów CSIRT agencja zidentyfikowała w analizowanym okresie co najmniej 115 podatności aktywnie wykorzystywanych na terytorium Unii Europejskiej. Microsoft odpowiada aż za ok. 43% podatności, co odzwierciedla masowe wykorzystanie luk w usługach Exchange (ProxyLogon/ProxyShell), serwerach Active Directory, SharePoint oraz stacjach roboczych Windows. Kategoria N/A (11,8%) obejmuje przypadki, w których w publicznie dostępnych źródłach nie wskazano jednoznacznie dostawcy ani produktu, choć sama podatność została opisana i przypisana do technik MITRE ATT&CK. Pozostali dostawcy to m.in. Ivanti (9,2%), Apache, Palo Alto Networks, VMware, Fortinet, Cisco, Linux oraz Roundcube. Odpowiadają oni za 3,9 – 6,6% podatności, co podkreśla znaczenie luk w systemach VPN, urządzeniach brzegowych i bezpieczeństwa, serwerach aplikacyjnych oraz usługach webmail.

Ogromna popularność Microsoftu w strukturze eksploatowanych podatności jest częściowo wypadkową jego powszechnej obecności w administracji publicznej, biznesie czy wśród konsumentów na terenie Unii Europejskiej, ale też pokazuje jego atrakcyjność dla kampanii masowego skanowania i zautomatyzowanych ataków. Bardzo wysokie miejsce Microsoft w zestawieniu nie może też dziwić. Jak wskazywał np. były dyrektor ds. polityki cyberbezpieczeństwa w Białym Domu Stanów Zjednoczonych Microsoft stanowi zagrożenie dla bezpieczeństwa narodowego. Z kolei Izba Reprezentantów zakazała wykorzystywania co-pilot AI wśród pracowników administracji przy czym zakaz cofnięto we wrześniu 2025 roku. Produkty Microsoft są po prostu dziurawe. Dopiero od pewnego czasu firma stara się bardziej przywiązywać wagę do cyberbezpieczeństwa.