Критические уязвимости, устраняемые с помощью систем Web Application Firewall (WAF)

В 2025 году количество зарегистрированных инцидентов веб-атак на сайты и веб-приложения российских компаний возросло на 89% по сравнению с предыдущим годом, достигнув показателя в 3,3 миллиарда событий. Среднее количество атак на одну компанию увеличилось в 1,6 раза. Количество выявленных уязвимостей в веб-приложениях возросло в 3,2 раза. В четвертом квартале 2025 года было обнаружено 397 уязвимостей, что составляет 38% от годового объема. Прирост по сравнению с первым кварталом составил 220%. Каждая сотая выявленная уязвимость имела максимальную критичность по шкале CVSS (10/10), а 69% уязвимостей, обнаруженных в четвертом квартале, относились к высокому или критическому уровню опасности.

Впервые был зафиксирован устойчивый тренд на уязвимости в сервисах, использующих технологии искусственного интеллекта. За год было выявлено 24 таких уязвимости.

Критические уязвимости, устраняемые с помощью систем Web Application Firewall (WAF):

CVE 2025-2026

Современные системы WAF оперативно реагируют на появление критических уязвимостей. Рассмотрим наиболее опасные уязвимости (CVE), против которых WAF обеспечивают защиту.

CVE-2025-55182 (React2Shell)

Уязвимость в компоненте React Server Components (используемом в Next.js и React Router) с оценкой CVSS 10.0. Уязвимость позволяет неаутентифицированным злоумышленникам выполнять произвольный код на сервере через небезопасную десериализацию запросов. Компания Cloudflare развернула защитные меры в течение суток после обнаружения уязвимости, обеспечив защиту всех своих клиентов, включая бесплатные тарифы.

CVE-2025-64446 (FortiWeb Authentication Bypass)

Критическая уязвимость обхода аутентификации в продукте FortiWeb компании Fortinet с оценкой CVSS 9.8. Уязвимость позволяла неаутентифицированным злоумышленникам получать несанкционированный доступ к административным функциям веб-приложений путем отправки специальных HTTP-запросов с манипуляцией заголовком CGIINFO. Компании Cloudflare и другие вендоры обновили свои сигнатуры для предотвращения попыток эксплуатации данной уязвимости.

CVE-2025-49113 (Roundcube Webmail RCE)

Критическая уязвимость в веб-клиенте Roundcube Webmail с оценкой CVSS 9.9. Уязвимость позволяет удаленно выполнять PHP-код без аутентификации, используя небезопасную десериализацию параметра  from. Уязвимость присутствовала в коде более десяти лет. WAF способty детектировать и блокировать попытки эксплуатации данной уязвимости.

CVE-2025-31644 (F5 BIG-IP RCE)

Уязвимость удаленного выполнения кода в системе F5 BIG-IP через интерфейс TMUI, позволяющая полностью скомпрометировать систему.

CVE-2026-20079 (Cisco FMC RCE)

Уязвимость с оценкой CVSS 10.0 в системе Cisco Secure Firewall Management Center. Неаутентифицированные злоумышленники могут получить root-доступ к устройству через веб-интерфейс управления.

Типы угроз, устраняемые системами WAF

Системы WAF обеспечивают защиту от широкого спектра угроз:

• SQL-инъекции: внедрение вредоносного SQL-кода в поля ввода.
• XSS-атаки: внедрение вредоносных скриптов в веб-страницы.
• Удалённое выполнение кода (RCE): атаки, направленные на исполнение произвольного кода на сервере.
• Обход аутентификации: попытки получения доступа к защищенным ресурсам без авторизации.
• Небезопасная десериализация: эксплуатация уязвимостей при обработке сериализованных объектов.
• DDoS уровня приложений (L7): атаки, направленные на истощение ресурсов веб-сервера.
• Атаки на API: злоупотребление конечными точками API для несанкционированного доступа к данным.

Современные системы WAF используют сигнатурный анализ, поведенческий анализ на основе машинного обучения и методы виртуального патчинга для предотвращения атак нулевого дня. Многие WAF комбинирует сигнатурные и поведенческие методы для защиты от атак, соответствующих классификации OWASP Top 10 и WASC.

Процесс внедрения системы WAF

Внедрение системы WAF включает несколько этапов:

1. Обследование (1–2 недели): аудит веб-приложений, инвентаризация активов, выявление потенциальных угроз и формирование требований к системе защиты.
2. Проектирование (2–4 недели): выбор архитектуры и модели развертывания системы WAF, разработка детального плана интеграции.
3. Развертывание и интеграция: установка и настройка системы WAF в соответствии с выбранной архитектурой.

Система WAF может быть развернута в нескольких режимах:

• Обратный прокси: WAF размещается перед веб-сервером и обрабатывает клиентские соединения.
• Прозрачный мост: WAF работает на канальном уровне, при этом IP-адресация не изменяется.
• Облачный WAF: SaaS-решение, в котором трафик перенаправляется через облачную инфраструктуру провайдера.

Настройка системы WAF включает следующие этапы:

1. Настройка в режиме мониторинга: система WAF работает в режиме обнаружения без блокировки для минимизации ложных срабатываний. На данном этапе осуществляется сбор статистики и уточнение правил.
2. Тонкая настройка правил: кастомизация сигнатур для конкретных приложений, настройка белых списков и исключений.
3. Перевод в режим блокировки: активация активной защиты после завершения тестирования и оптимизации.
4. Интеграция с SIEM: настройка передачи логов системы WAF в систему мониторинга и корреляции событий безопасности для оперативного реагирования на инциденты.

Web Application Firewall (WAF) сегодня представляет собой не просто средство фильтрации трафика, а многофункциональную платформу, способную в реальном времени блокировать критические уязвимости с оценкой CVSS до 10.0. Правильно спроектированное и внедренное решение WAF обеспечивает защиту критически важных веб-приложений и API, снижает риски утечки данных, простоев и финансовых потерь, а также способствует соблюдению нормативных требований. При выборе WAF необходимо учитывать такие критерии, как наличие сертификации ФСТЭК, производительность, совместимость с существующей инфраструктурой, качество сигнатур и оперативность обновления. В условиях стремительного роста числа атак и уязвимостей WAF является ключевым элементом эшелонированной системы защиты для любой современной организации.