アカマイ、HTTPリクエストスマグリングの脆弱性を修正
クラウドサービス大手のアカマイは、同社のエッジサーバーに存在したHTTPリクエストスマグリングの脆弱性を修正したことを発表しました。この脆弱性は、すでに2025年11月17日に完全に解決されており、顧客側での対応は不要とのことです。
この問題はCVE-2025-66373として追跡されています。
- CVE ID: CVE-2025-66373
- ベンダー: Akamai
- コンポーネント: Akamaiエッジサーバー
- 脆弱性タイプ: HTTP Request Smuggling
脆弱性の詳細と潜在的な影響
今回の脆弱性は、アカマイのエッジサーバーがHTTP 1.1のチャンク転送エンコーディングを使用するHTTPリクエストを処理する方法に関連していました。具体的には、チャンクサイズと実際のデータサイズが一致しない無効なチャンクボディが提供された場合、エッジサーバーがこれを適切に処理しないケースがあったとのことです。
この不適切な処理により、エッジサーバーは有効なチャンクに属さない余分なバイトをオリジンサーバーに転送する可能性がありました。攻撃者はこの「余分なバイト」の中に2つ目の不正なHTTPリクエストを隠し(スマグリング)、オリジンサーバーが正規のリクエストとして処理してしまうリスクがありました。これがHTTPリクエストスマグリング攻撃です。
この種の攻撃は、以下のような深刻な問題を引き起こす可能性があります。
- セキュリティ制御のバイパス
- キャッシュの汚染
- ユーザーセッションの乗っ取り
ただし、この脆弱性が実際に悪用可能であったかどうかは、オリジンサーバーが無効なリクエストをどのように処理するかによって異なり、その影響は顧客の構成によって様々であったとされています。
アカマイの対応と顧客への影響
アカマイは、2025年9月18日にバグバウンティプログラムを通じてこの問題を認識しました。その後、調査と修正プログラムの開発を進め、2025年11月17日までに全アカマイサービスへの展開を完了し、脆弱な動作はプラットフォームから完全に排除されました。
アカマイは、顧客が設定を変更したり、パッチを適用したりする必要はないと明言しています。すべての緩和策はアカマイのインフラ内で処理されました。
報告者への謝意
アカマイは、この脆弱性を報告し、調査に協力したセキュリティ研究者「Jinone(@jinonehk)」氏に対し、インターネットのセキュリティ向上に貢献したとして特別な感謝を表明しています。
元記事: https://gbhackers.com/akamai-fixes-http-request-smuggling-flaw/