Akamai Ghost Platform Flaw Allows Hidden Second Request Injection
2025/08/07 gbhackers — Akamai Technologies が公開したのは、同社の CDN プラットフォームに影響を及ぼす、深刻な HTTP リクエスト・スマグリングの脆弱性の存在である。脆弱性 CVE-2025-32094 は、高度な手法を用いる攻撃者に対して、隠されたセカンダリ・リクエスト挿入を許すものである。この脆弱性は、同社のバグ報奨金プログラムを通じて発見/報告されたものであり、すでに、すべてのユーザー環境で修正済みであり、悪用の痕跡は確認されていないという。
この脆弱性は、Akamai のエッジ・サーバ・インフラにおける複数の処理上の不具合が、複雑に組み合わされることで発生する。具体的に言うと、クライアントからの送信において、”Expect: 100-continue” ヘッダーを取り込んだ HTTP/1.x OPTIONS リクエストが、廃止された行折り返し (Obsolete Line Folding) を用いるときに発生する。
Akamai のイニシャル・エッジ・サーバは、この改行を削除してリクエストを転送するが、ソフトウェア・バグによりヘッダーは正しく処理されない。さらに、OPTIONS リクエスト処理に存在する別の欠陥により、ボディ・セクションを含むリクエストが正しく転送されない。その結果として、2台のサーバ間でリクエストの解釈が不一致となり、オリジナルのリクエスト・ボディに、攻撃者が悪意のリクエストをスマグリングするという、非同期の状態が発生する。
この脆弱性の属性は以下の通りである。
| Attribute | Details |
| CVE ID | CVE-2025-32094 |
| Type | HTTP Request Smuggling |
| Attack Vector | OPTIONS + Obsolete Line Folding |
| Discovery Date | March 2025 |
| Public Disclosure | August 06, 2025 |
| Researcher | James Kettle (PortSwigger) |
| CVSS Score | Not yet assigned |
| Affected Component | Akamai Edge Servers |
すでに Akamai は、すべてのプラットフォームに対して修正をデプロイし、ユーザー・サイドにおけるコンフィグ変更を必要とすることなく、自動的な保護を適用している。
また、PortSwigger の James Kettle と連携し、BlackHat 2025 における研究発表と公開を調整した。バグバウンティ報酬は、この両社から共同で拠出され、若者支援のメンタル・ヘルス慈善団体 42nd Street に寄付された。
今回のインシデントが浮き彫りにするのは、責任ある脆弱性の開示における業界間での協力の好例である。それと同時に、HTTP プロトコル実装における “廃止された行折り返し” などのレガシー機能が、現代の分散インフラ環境においても、予期せぬセキュリティ問題を引き起こし得ることが判明した。
Akamai Ghost の脆弱性 CVE-2025-32094 は、エッジ・サーバにおける複数の処理不具合が重なることに起因します。”Expect: 100-continue” ヘッダーを取り込んだ HTTP/1.x OPTIONS リクエストが、廃止された行折り返し使うことで問題が生じると、この記事は指摘しています。すでに、すべての環境に修正が施されているとのことです。よろしければ、Akamai で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.