Akamai Patches HTTP Request Smuggling Vulnerability in Edge Servers
2025/12/04 CyberSecurityNews — Akamai のエッジサーバ・インフラに存在する、深刻な HTTP リクエスト・スマグリング脆弱性が修正された。この脆弱性 CVE-2025-66373 は、無効なチャンク・エンコード本文を含む HTTP リクエストに対する不適切な処理に起因しており、広範なユーザー環境を高度な攻撃にさらす可能性を持つものだった。
HTTP チャンク転送エンコーディングについて
HTTP チャンク転送エンコーディングは、効率的な転送を目的として、メッセージ本文を小さなチャンクに分割する HTTP/1.1 の標準である。それぞれのチャンクはサイズ・インジケータと、それに続く対応するデータで構成される。
Akamai のエッジサーバには、不正なチャンク・リクエストに対する不適切な処理という問題が生じていた。その対象となるのは、宣言されたチャンク・サイズと実際のデータ・サイズが一致しないリクエストである。
このような無効なリクエストを受信したサーバは、特定の状況下で不正なリクエストと不要なデータバイトの両方をオリジンサーバに誤って転送していた。
| Field | Details |
|---|---|
| CVE ID | CVE-2025-66373 |
| Vulnerability Type | HTTP Request Smuggling |
| Affected Component | Akamai Edge Servers |
| Root Cause | Incorrect processing of invalid chunk-encoded request bodies |
| Severity Level | High |
| CVSS Score | 7.5 |
この挙動により、HTTP リクエスト・スマグリング攻撃が引き起こされる。HTTP リクエスト・スマグリングとは、正当なトラフィック内に不正なリクエストを隠す手法である。
この脆弱性を悪用する攻撃者は、オリジンサーバに送信される追加バイトの中に、悪意のリクエストを埋め込める状況にあった。ただし、実際の悪用可能性は、Akamai のインフラから受信した不正なリクエストを、個々のオリジンサーバが処理する方法に依存する。
オリジンサーバへのスマグリング攻撃が成功すると、セキュリティ制御が回避され、悪用の可能性が高くなる。その結果として、正当なユーザーを装う攻撃者は、アプリケーション・ロジックの操作や、不正アクションの実行などを可能にする。
Akamai は、この脆弱性を 2025年9月18日に検出し、その後の2ヶ月を調査と修復に費やしてきた。
そして、2025年11月17日に完全な修正プログラムを導入し、すべての Akamai サービスから脆弱性 CVE-2025-66373 を排除した。すでにパッチがプラットフォーム全体に透過的に適用されているため、顧客側の対応は不要である。
Akamai の標準的な脆弱性開示プロセスを通じて、この脆弱性は正式に開示された。バグバウンティ・プログラムを通じて、この脆弱性を発見/報告したセキュリティ研究者に Akamai は謝意を示している。
Akamai のエッジサーバが、不正なチャンク形式の HTTP リクエストを正しく処理できないという問題が生じていました。宣言されたサイズと実際のデータが一致しない場合に、余分なデータがオリジンサーバへ誤って転送されてしまう状況にあったと述べられています。この動作により、悪意のリクエストを紛れ込ませる機会を、攻撃者に与えてしまっていたと、この記事は指摘しています。なお、すでに問題は解決しており、ユーザー・サイドでの対応は不要とのことです。よろしければ、Akamai での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.