Компания Akamai, ведущий поставщик услуг доставки контента (CDN), устранила критическую уязвимость в своих пограничных серверах (edge servers). Эта проблема, получившая идентификатор CVE-2025-66373, теоретически позволяла злоумышленникам провести так называемую атаку подмены HTTP-запросов (HTTP Request Smuggling). Однако, по заверениям компании, угроза была полностью нейтрализована 17 ноября 2025 года, и от клиентов не требуется никаких дополнительных действий.
Детали уязвимости
Суть уязвимости была связана с обработкой HTTP-запросов, использующих поблочное кодирование (chunked transfer encoding). Этот стандартный механизм протокола HTTP 1.1 позволяет передавать тело сообщения частями, а не единым блоком. Каждая часть начинается с указания своего размера, за которым следуют соответствующие данные. Как выяснилось, серверы Akamai в некоторых случаях некорректно обрабатывали запросы с несоответствием объявленного размера части и фактического объема переданных данных.
Конкретно, если злоумышленник отправлял запрос, где размер части не совпадал с длиной следующих за ним данных, пограничный сервер Akamai мог некорректно обработать эту ситуацию. В результате он передавал исходному серверу (origin server) клиента не только основной запрос, но и дополнительные байты, не принадлежащие валидной части. Именно внутри этих лишних байтов можно было скрыть второй, "контрабандный" HTTP-запрос. Исходный сервер, получив такой искаженный пакет, мог интерпретировать скрытый запрос как отдельный и легитимный, пришедший от доверенного CDN-провайдера.
Подобная атака подмены запросов считается серьезной угрозой. Ее последствия могут быть разнообразными: от обхода механизмов безопасности (например, веб-приложений, WAF) до отравления кэша (cache poisoning) и перехвата пользовательских сессий. При этом реальная эксплуатация уязвимости CVE-2025-66373 напрямую зависела от конфигурации и поведения исходного сервера каждого конкретного клиента Akamai. Если бэкенд-система корректно отклоняла или игнорировала некорректно сформированные данные, риск успешной атаки значительно снижался.
Компания Akamai узнала о проблеме 18 сентября 2025 года благодаря отчету, поступившему в рамках ее программы Bug Bounty. После тщательного расследования инженеры компании разработали исправление. Его полномасштабное развертывание на всех сервисах Akamai было завершено 17 ноября 2025 года. Как подчеркивает вендор, уязвимое поведение было полностью устранено на уровне инфраструктуры платформы. Клиентам не нужно применять какие-либо патчи или менять конфигурации своих систем - вся работа по смягчению угрозы выполнена силами Akamai.
Для обеспечения прозрачности и информирования сообщества специалистов по кибербезопасности компания опубликовала детали уязвимости, зарегистрированной под идентификатором CVE-2025-66373. Akamai также выразила благодарность независимому исследователю безопасности Jinone (@jinonehk), который обнаружил проблему и сотрудничал с компанией на этапе расследования. Подобное взаимодейчество демонстрирует важность программ вознаграждения за ошибки (Bug Bounty) для повышения общей устойчивости ключевых интернет-сервисов.
