超過(guò)50%的公開(kāi)漏洞可繞過(guò)主流Web應(yīng)用防火墻

發(fā)布時(shí)間 2025-12-25

應(yīng)用安全公司 Miggo Security 近日發(fā)布了一份最新研究報(bào)告,深入剖析了 Web 應(yīng)用防火墻(WAF)在真實(shí)安全環(huán)境中的應(yīng)用現(xiàn)狀。研究指出,雖然 WAF 是企業(yè)安全基礎(chǔ)設(shè)施的基石,但在應(yīng)對(duì)關(guān)鍵漏洞、CVE 以及 AI 驅(qū)動(dòng)的新型威脅時(shí),其有效性正受到嚴(yán)峻挑戰(zhàn)。

報(bào)告核心結(jié)論令人警醒:在默認(rèn)配置下,超過(guò)一半的公開(kāi)漏洞能夠成功繞過(guò)主流 WAF 的攔截。

核心發(fā)現(xiàn):防御缺口與高昂代價(jià)

Miggo 的這項(xiàng)研究分析了超過(guò) 360 個(gè)具有代表性的 CVE 漏洞,涵蓋了攻擊者優(yōu)先利用的各類(lèi)場(chǎng)景。通過(guò)評(píng)估主流 WAF 廠商的防御效果,研究揭示了當(dāng)前防御體系中的巨大裂痕:

過(guò)半漏洞可輕松繞過(guò):即使在防御條件有利的情況下,52% 的漏洞利用仍能繞過(guò) WAF 的默認(rèn)規(guī)則。若考慮到真實(shí)攻擊載荷的多變性,這一比例只會(huì)更高。

防御時(shí)間差長(zhǎng)達(dá) 41 天:這是一個(gè)極不對(duì)稱(chēng)的對(duì)抗。攻擊者的利用代碼通常在漏洞披露數(shù)小時(shí)內(nèi)出現(xiàn),而主流 WAF 廠商平均需要 41 天 才能發(fā)布針對(duì)特定 CVE 的規(guī)則更新。這 41 天的“暴露窗口期”正是企業(yè)最脆弱的時(shí)候。

AI 增強(qiáng)規(guī)則可顯著提升防御:當(dāng)不再依賴(lài)通用攻擊特征,而是利用 AI 結(jié)合具體的漏洞和應(yīng)用上下文生成定制規(guī)則時(shí),超過(guò) 91% 的被繞過(guò)漏洞可以得到有效緩解。

年均損失高達(dá) 600 萬(wàn)美元:由于暴露窗口期長(zhǎng)、不必要的修復(fù)成本以及誤報(bào)帶來(lái)的運(yùn)營(yíng)負(fù)擔(dān),一家中型企業(yè)每年因 WAF 運(yùn)營(yíng)缺陷面臨的潛在損失估算約為 600 萬(wàn)美元。

現(xiàn)實(shí)案例驗(yàn)證:React2shel”危機(jī)

報(bào)告發(fā)布之際,正值 “React2Shell” (CVE-2025-55182) 漏洞被發(fā)現(xiàn)。這是一個(gè)存在于 React 和 Next.js 中的高危漏洞(CVSS 評(píng)分 10.0),其爆發(fā)為報(bào)告結(jié)論提供了最直觀的現(xiàn)實(shí)驗(yàn)證。

Miggo Security 首席執(zhí)行官 Daniel Shechter 直言:“WAF 雖必不可少,但它們無(wú)法獨(dú)自贏得這場(chǎng) AI 時(shí)代的零日漏洞競(jìng)賽?!甊eact2Shell’ 就是舊防御模型失效的教科書(shū)式案例。這是一個(gè) CVSS 滿(mǎn)分的威脅,其利用邏輯隱藏在復(fù)雜的‘Flight’協(xié)議反序列化過(guò)程中——標(biāo)準(zhǔn) WAF 特征碼極少會(huì)檢查這種位置?!?/span>

Shechter 強(qiáng)調(diào),要填補(bǔ)這 41 天的防御空白,唯一的出路是從緩慢、通用的特征碼匹配,轉(zhuǎn)向由**運(yùn)行時(shí)情報(bào)(Runtime Intelligence)**生成的快速、感知漏洞利用的規(guī)則。

專(zhuān)家觀點(diǎn):從“通用簽名“轉(zhuǎn)向“運(yùn)行時(shí)智能”

Duha 公司首席信息安全官(CISO)Andy Ellis 在報(bào)告中指出:“這項(xiàng)研究通過(guò)數(shù)據(jù)澄清了一個(gè)事實(shí):WAF 目前是一種‘未被充分利用的資產(chǎn)’。主要原因在于通用的手動(dòng)簽名模型侵蝕了用戶(hù)的信任。安全團(tuán)隊(duì)既無(wú)法承受誤報(bào)帶來(lái)的業(yè)務(wù)風(fēng)險(xiǎn),也無(wú)法等待廠商耗時(shí) 41 天來(lái)測(cè)試特定 CVE 的規(guī)則變更?!?/span>

報(bào)告認(rèn)為,WAF 的邊緣部署優(yōu)勢(shì)若能與運(yùn)行時(shí)情報(bào)相結(jié)合,將釋放巨大的潛力。

現(xiàn)狀:被動(dòng)的、一次性的修復(fù),依賴(lài)廠商緩慢更新。

未來(lái):通過(guò)運(yùn)行時(shí)增強(qiáng)(Runtime Augmentation)提供必要的智能和自動(dòng)化,將 WAF 轉(zhuǎn)變?yōu)獒槍?duì)所有關(guān)鍵 CVE 的可靠、高置信度防御層。

這種增強(qiáng)的方法不僅能大幅縮短暴露窗口期,還能有效降低因誤報(bào)和低效運(yùn)營(yíng)帶來(lái)的數(shù)百萬(wàn)美元損失,為現(xiàn)代防御策略提供更可靠、更具 AI 就緒性的緩解層。

對(duì)于安全團(tuán)隊(duì)的建議: 面對(duì)“React2Shell”等利用復(fù)雜邏輯繞過(guò)傳統(tǒng)檢測(cè)的漏洞,建議評(píng)估現(xiàn)有的 WAF 策略,并考慮引入具備運(yùn)行時(shí)上下文感知的安全工具,以彌補(bǔ)特征碼更新滯后帶來(lái)的風(fēng)險(xiǎn)敞口。