0-dagsudnyttelser stiger markant

Eskil Sørensen
01.26.2026 10:04
Næsten hver tredje sårbarhed udnyttes før offentliggørelse

Cyberkriminelle viser ingen tegn på at sænke tempoet. En ny rapport fra sikkerhedsfirmaet VulnCheck peger på en klar acceleration i måden, hvorpå sårbarheder bliver udnyttet. I 2025 blev 28,96% af de registrerede known exploited vulnerabilities (KEV’er) udnyttet før de blev offentliggjort – eller samme dag som CVE’en blev udgivet. Det er en markant stigning fra 23,6% i 2024. 

Det skriver Infosecurity Magazine.

Selvom udgivelse af et CVE-nummer ofte ses som det første pejlemærke for en sårbarheds “kendthed” i offentligheden, er billedet mere mudret, hedder det. Ifølge VulnCheck sker det hyppigt, at sårbarheder omtales i advisories, udnyttes i det fri og først derefter får et CVE-nummer. Det betyder, at ikke alle tidlige udnyttelser nødvendigvis er klassiske 0-dagssårbarheder, men tendensen er ikke desto mindre klar: angriberne reagerer hurtigere, og systemejere har kortere tid til at reagere.

884 førstegangsudnyttelser i 2025 – og angriberne går bredt til værks

VulnCheck observerede 884 sårbarheder, der blev udnyttet for første gang i 2025. Det er en stigning på 15 pct. sammenlignet med 2024 og afspejler en fortsat professionalisering af kriminelle aktører og deres værktøjskæder, fremgår det.

Angrebene fordelte sig på hundreder af produkter og leverandører. Tre teknologikategorier skilte sig især ud:

  • Netværksnære enheder (firewalls, VPN-løsninger, proxies): 191 KEV’er
  • CMS-platforme: 163 KEV’er
  • Open source‑software: 129 KEV’er

Den tunge eksponering af netværksudstyr bekræfter en anden tendens: angriberne går efter systemer, der placerer sig i infrastrukturens udvendige kant, hvor sårbarheder kan give direkte adgang til interne miljøer uden brugerinteraktion.

Stabilt udnyttelsesmønster – men OS rammes hårdest af de hurtige angreb

Selvom volumen vokser, viser rapporten, at timingen for angreb er slående stabil. Mønstret fra 2024 går igen i 2025:

  • Operativsystemer står for langt den største andel af 0-dags- og endagssårbarhedsudnyttelser.
  • Næsten halvdelen af de OS-relaterede KEV'er blev udnyttet før eller lige efter offentliggørelsen.

Samtidig er gamle sårbarheder fortsat et attraktivt mål. Særligt tre teknologiområder blev ramt af udnyttelser på sårbarheder, der havde mere end fire år på bagen:

  • Udviklerværktøjer
  • Netværksenheder
  • Hardwarekomponenter

Endelig bliver gamle sårbarheder ved med at være attraktive for angribere – især når ældre versioner af enheder eller software stadig findes ude i drift.

Opklaringen halter efter – igen

En interessant observation i rapporten er, at ransomware-relaterede udnyttelser fortsat først identificeres længe efter den oprindelige exploit‑aktivitet. Det betyder, at flere af 2025‑sårbarhederne sandsynligvis først vil blive tilskrevet konkrete ransomwaregrupper i løbet af 2026 og frem. Det viser både kompleksiteten i efterforskningen og det taktiske skifte hos angribere, der udnytter “stille” sårbarheder, før deres brug bliver opdaget og dokumenteret.

VulnChecks tal bekræfter et tydeligt billede:

  • Angribere udnytter sårbarheder hurtigere end nogensinde før. Det har vi også set med AI-udviklede udnyttelser
  • Flere sårbarheder bliver udnyttet, før systemejerne overhovedet ved, de eksisterer (altså sårbarhederne).
  • Netværksnære produkter og operativsystemer er særligt udsatte.
  • Glemsomme opdateringsrutiner på ældre systemer giver fortsat kriminelle gode muligheder.

Tendensen understreger, afslutter Infosecurity Magazine, et stigende behov for hurtig patching, bedre overvågning af advisories før udgivelse af sårbarhederne med et CVE og/eller EUVD-identifikationsnummer og øget beredskab over for tidlige udnyttelser – også dem, der endnu ikke er registreret i officielle databaser.

Læs mere

Trusselsvurdering