安全态势报告-2025年12月

云平台默认防御水位

默认防御是阿里云平台默认提供的基础防御能力，可基于海量云安全威胁情报，阻断恶意团伙对云上客户的规模性攻击，客户无需手动配置安全防护功能，开箱即享基础安全保护。

2025 年 12 月云平台平均每天为客户

• 防御攻击次数：72.28 亿次，环比 11 月份上涨 7.65%

• 防御攻击IP数： 2.64 万个，与 11 月份基本持平

DDoS 攻击拦截情况

阿里云平台 12 月共监测并拦截

• DDoS 攻击次数：5.40 万次，环比 11 月份下降 69.71%

• DDoS 峰值：2000 Gbps ，环比 11 月份下降 4.76%

大量恶意团伙利用 Next.js RCE 漏洞发起大规模云上攻击

2025年12月4日，Meta React 核心团队与 Vercel Next.js 团队联合发布安全公告，披露了两个最高危险等级（Critical）漏洞：CVE-2025-55182（影响 React）与 CVE-2025-66478（影响 Next.js）。

React 是一个开源的 前端 JavaScript 库，用于构建用户界面（UI）， React Server Components（RSC）所使用的 Flight 协议存在反序列化缺陷，攻击者可构造恶意请求，在未授权的情况下在服务器执行任意系统命令（RCE）。由于 Next.js 深度集成并广泛依赖 React 的 RSC 功能，因此也同样受到影响。

12月5日，阿里云安全团队监测到，大量黑产团伙开始批量利用该漏洞发起攻击，开展包括主机勒索、恶意挖矿、DDoS 攻击等在内的多种恶意活动。

阿里云安全团队立即响应：

• 基于默认防御能力对恶意团伙的攻击源IP进行拦截，同时对云上租户进行安全风险预警；

• 云安全中心免费版上线 Next.js漏洞（ CVE-2025-66478 ）检测能力，帮助用户及时发现风险。

在此次攻击过程中，我们观察到两个明显趋势：

1. 漏洞武器化速度显著加快

从漏洞 PoC（概念验证代码）公开，到黑产团伙利用其发起大规模攻击，间隔不足两个小时。这显示出攻击者的武器化与实战部署能力进一步提升。

2. 攻击策略更具针对性

在首个攻击团伙率先利用漏洞开展攻击后，其他团伙迅速跟进，并停止使用其原有常用攻击 Payload，将更多攻击资源集中用于 Next.js 漏洞的扫描与利用，表现出更强的战术调整能力和针对性。

（一）新增重要漏洞

（二）其他近期被高频攻击的漏洞列表

云安全中心已支持部分漏洞免费检测，如需更全面的检测能力，也可使用云安全中心企业版进行深度扫描与持续监控。