Akamai’nin uç sunucu altyapısındaki kritik bir HTTP isteği kaçakçılığı güvenlik açığı başarıyla düzeltildi.
CVE-2025-66373 olarak tanımlanan güvenlik açığı, geçersiz parça kodlu gövdeler içeren HTTP isteklerinin hatalı işlenmesinden kaynaklanıyor ve potansiyel olarak binlerce müşteriyi karmaşık saldırılara maruz bırakıyor.
HTTP Parçalanmış Aktarım Kodlamasını Anlamak
HTTP parçalı aktarım kodlaması, verimli iletim için mesaj gövdelerini daha küçük parçalara bölen bir HTTP/1.1 standardıdır. Her parça, bir boyut göstergesi ve ardından karşılık gelen verilerden oluşur.
Akamai’nin uç sunucuları, hatalı biçimlendirilmiş parçalanmış istekleri işleme biçiminde bir kusur içeriyordu. Özellikle, bildirilen yığın boyutunun gerçek veri boyutuyla eşleşmediği durumlar.
Sunucular bu tür geçersiz istekler aldığında, hem hatalı biçimlendirilmiş isteği hem de gereksiz veri baytlarını belirli koşullar altında kaynak sunuculara hatalı bir şekilde ilettiler.
| Alan | Detaylar |
|---|---|
| CVE Kimliği | CVE-2025-66373 |
| Güvenlik Açığı Türü | HTTP İsteği Kaçakçılığı |
| Etkilenen Bileşen | Akamai Uç Sunucuları |
| Ana neden | Geçersiz öbek kodlu istek gövdelerinin hatalı işlenmesi |
| Önem Düzeyi | Yüksek |
| CVSS Puanı | 7.5 |
Bu, saldırganların görünüşte meşru trafik içinde yetkisiz istekleri gizlediği bir teknik olan HTTP İstek Kaçakçılığı için bir saldırı yüzeyi oluşturdu.
Bu güvenlik açığından yararlanan bir saldırgan, kötü amaçlı istekleri kaynak sunuculara iletilen ekstra baytların içine gizlemiş olabilir.
Pratikte yararlanılabilirlik, bireysel kaynak sunucuların Akamai’nin altyapısından aldıkları geçersiz istekleri nasıl işlediğine bağlıydı.
Ancak başarılı kaçakçılık saldırıları güvenlik kontrollerini aşabileceğinden kötüye kullanım potansiyeli önemliydi. Uygulama mantığını değiştirin veya meşru kullanıcılar adına yetkisiz eylemler gerçekleştirin.
Akamai, güvenlik açığını 18 Eylül 2025’te tespit etti. İki aylık bir inceleme ve düzeltme sürecinin ardından.
Şirket, 17 Kasım 2025’te tam bir düzeltme uygulayarak dünya çapındaki tüm Akamai hizmetlerindeki güvenlik açığını ortadan kaldırdı. Özellikle hiçbir müşteri işlemine gerek yoktur; yama tüm platforma şeffaf bir şekilde uygulandı.
Şirket, standart güvenlik açığı açıklama sürecinin bir parçası olarak bu güvenlik sorununu CVE-2025-66373 aracılığıyla resmi olarak açıkladı.
Akamai, güvenlik araştırmacısına Bug Bounty Programı aracılığıyla güvenlik açığını keşfedip bildirdiği için teşekkür etti.
Koordineli açıklama, sorumlu güvenlik açığı yönetimine örnek teşkil etti ve işbirliğine dayalı güvenlik araştırmalarının daha geniş internet ekosistemini nasıl güçlendirdiğini gösterdi.
Bu yama, Akamai’nin içerik sunumunun güvenliğini ve güvenilirliğini sürdürme konusundaki kararlılığını güçlendiriyor. Dünya çapında milyonlarca kuruluşu yeni ortaya çıkan tehditlerden koruyan uç bilgi işlem altyapısı.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
