Akamai Technologies, içerik dağıtım ağı platformunu etkileyen kritik bir HTTP talebi kaçakçılık kırılganlığı, saldırganların sofistike bir sömürü tekniği aracılığıyla gizli ikincil istekleri enjekte etmesine izin verebileceğini açıkladı.
CVE-2025-32094 olarak adlandırılan güvenlik açığı, şirketin böcek ödül programı aracılığıyla keşfedildi ve vahşi doğada başarılı bir sömürü kanıtı olmadan tüm müşteri dağıtımlarında çözüldü.
Güvenlik Açığı Detayları ve Saldırı Vektörü
Güvenlik kusuru, Akamai’nin Edge sunucu altyapısındaki çoklu işlem kusurları arasındaki karmaşık bir etkileşimden kaynaklanmaktadır.
Özellikle, güvenlik açığı, istemciler eski hat katlama tekniklerini kullanan bir “Beklenti: 100 Sürekli” başlık içeren HTTP/1.x seçenek istekleri gönderdiğinde ortaya çıkar.
Bu kombinasyon, trafik işleme zincirindeki farklı Akamai sunucuları arasında tehlikeli bir ayrıştırma tutarsızlık yaratır. Saldırı, birlikte çalışan iki ayrı uygulama kusurundan yararlanıyor.
Birincisi, istekler beklentiyi içerdiğinde: 100-süresiz başlık, eski HTTP hattı katlanması yoluyla birden fazla satırı kapsayan Akamai’nin başlangıç kenar sunucusu, isteği iletmeden önce satır katlamasını doğru bir şekilde kaldırır, ancak bir yazılım hatası nedeniyle başlığı onurlandıramaz.
İkincisi, seçenekler isteği işlemeye özgü ayrı bir uygulama kusuru, gövde bölümlerini içeren isteklerin doğru iletilmesini önler.
Bu kombine kusurlar, iki Akamai sunucusunun aynı isteği farklı şekilde yorumladığı, istek gövdesinin hatalı ayrıştırılmasına ve saldırganların orijinal istek gövdesi içindeki kötü niyetli istekleri kaçırmasına olanak tanır.
| Bağlanmak | Detaylar |
| CVE kimliği | CVE-2025-32094 |
| Tip | HTTP isteği kaçakçılığı |
| Saldırı vektörü | Seçenekler + eski çizgi katlanması |
| Keşif tarihi | Mart 2025 |
| Kamuya açıklama | 06 Ağustos 2025 |
| Araştırmacı | James Kettle (Portswigger) |
| CVSS Puanı | Henüz atanmadı |
| Etkilenen bileşen | Akamai Edge sunucuları |
Akamai, güvenlik açığı raporuna hızlı bir şekilde yanıt verdi ve tüm müşterileri bireysel yapılandırma değişiklikleri gerektirmeden otomatik olarak koruyan platform çapında bir düzeltme uyguladı.
Şirket, Portswigger’dan güvenlik araştırmacısı James Kettle ile açıklamayı koordine ederek, kamu duyurusunu Blackhat 2025’te sunulan ilgili araştırmalarla hizaladı.
Bug Bounty Ödülü, hem Akamai hem de Portswigger tarafından ortaklaşa finanse edildi ve birleşik ödeme, gençleri destekleyen bir akıl sağlığı yardım kuruluşu olan 42. Cadde’ye bağışlandı.
Bu işbirlikçi yaklaşım, sorumlu kırılganlık açıklamasında etkili endüstri işbirliğini göstermektedir.
Güvenlik açığı, özellikle modern altyapı dağıtımlarında beklenmedik güvenlik sonuçları yaratmaya devam eden eski çizgi katlanması gibi eski özellikler ile ilgili olarak, karmaşık dağıtılmış sistemlerde HTTP protokolü uygulamasında devam eden zorlukları vurgulamaktadır.
The Ultimate SOC-as-a-Service Pricing Guide for 2025– Ücretsiz indir