Akamai Technologies đã công bố một lỗ hổng HTTP Request Smuggling cực kỳ nghiêm trọng. Lỗ hổng này ảnh hưởng đến nền tảng mạng phân phối nội dung (CDN) cốt lõi của họ, cho phép kẻ tấn công chèn các yêu cầu thứ cấp ẩn thông qua một kỹ thuật khai thác phức tạp và tinh vi. Đây là một vấn đề an ninh mạng cần được chú ý đặc biệt.

Lỗ Hổng HTTP Request Smuggling Nghiêm Trọng Trên Akamai CDN

Lỗ hổng này, được định danh là CVE-2025-32094, được phát hiện thông qua chương trình tiền thưởng lỗi (bug bounty) của Akamai. Công ty đã nhanh chóng triển khai giải pháp khắc phục trên tất cả các triển khai của khách hàng. Điều quan trọng là không có bằng chứng nào cho thấy lỗ hổng CVE nghiêm trọng này đã bị khai thác thành công trong thực tế.

Điểm yếu bảo mật này không phải là một lỗi đơn lẻ. Nó bắt nguồn từ sự tương tác phức tạp giữa nhiều khiếm khuyết xử lý bên trong cơ sở hạ tầng máy chủ biên (edge server) phân tán của Akamai. Sự phức tạp này làm cho việc phát hiện và khắc phục trở nên thách thức hơn.

Cơ Chế Khai Thác Lỗ Hổng HTTP Request Smuggling và Nguyên Lý Hoạt Động

Cụ thể, lỗ hổng HTTP Request Smuggling này xuất hiện khi các máy khách gửi yêu cầu HTTP/1.x OPTIONS. Các yêu cầu này chứa tiêu đề “Expect: 100-continue” và sử dụng các kỹ thuật gấp dòng (line folding) đã lỗi thời, không còn được khuyến nghị trong các chuẩn HTTP hiện đại.

Sự kết hợp bất thường này tạo ra một sự không đồng bộ trong phân tích cú pháp (parsing discrepancy) nguy hiểm. Tình trạng này xảy ra giữa các máy chủ Akamai khác nhau trong cùng một chuỗi xử lý lưu lượng truy cập. Cuộc tấn công khai thác hai lỗi triển khai riêng biệt hoạt động song song để đạt được hiệu quả.

Lỗi Xử Lý Tiêu Đề Expect: 100-continue

Trong quá trình xử lý, khi các yêu cầu bao gồm tiêu đề Expect: 100-continue trải dài nhiều dòng thông qua kỹ thuật gấp dòng HTTP lỗi thời, máy chủ biên ban đầu của Akamai thực hiện việc loại bỏ chính xác gấp dòng. Tuy nhiên, một lỗi phần mềm ngăn cản máy chủ này tôn trọng hoặc xử lý đúng cách nội dung của tiêu đề đã được chỉnh sửa.

Vấn đề này tạo ra một tình huống bất thường. Thông tin trong tiêu đề không được xử lý như mong đợi, dẫn đến sự khác biệt về cách hiểu yêu cầu giữa các thành phần khác nhau của hệ thống. Đây là một điểm yếu quan trọng có thể bị lợi dụng.

Lỗi Xử Lý Yêu Cầu OPTIONS Với Phần Thân

Bên cạnh lỗi trên, một lỗi triển khai riêng biệt khác đã được tìm thấy. Lỗi này dành riêng cho việc xử lý yêu cầu OPTIONS khi các yêu cầu đó chứa phần thân (body sections) dữ liệu. Lỗi này ngăn chặn việc chuyển tiếp đúng cách các yêu cầu có cấu trúc như vậy qua chuỗi máy chủ Akamai.

Hai lỗi này khi kết hợp tạo ra một sự mất đồng bộ nghiêm trọng về mặt ngữ nghĩa (semantic desynchronization). Kết quả là, hai máy chủ Akamai khác nhau diễn giải cùng một yêu cầu HTTP theo cách hoàn toàn khác nhau. Sự diễn giải sai lệch này dẫn đến việc phân tích cú pháp không chính xác phần thân yêu cầu.

Chính sự phân tích cú pháp sai lệch này đã mở ra con đường cho kẻ tấn công. Kẻ tấn công có thể lợi dụng để thực hiện kỹ thuật HTTP Request Smuggling. Bằng cách chèn các yêu cầu độc hại vào bên trong phần thân của yêu cầu gốc, chúng có thể vượt qua các biện pháp kiểm soát an ninh mạng thông thường và gây ra hậu quả nghiêm trọng.

Phản Ứng và Biện Pháp Khắc Phục từ Akamai

Akamai đã phản hồi với sự nhanh chóng và quyết đoán đối với báo cáo về lỗ hổng này. Công ty đã triển khai một bản vá bảo mật trên toàn bộ nền tảng của mình. Giải pháp này tự động bảo vệ tất cả khách hàng Akamai mà không yêu cầu bất kỳ thay đổi cấu hình riêng lẻ nào từ phía người dùng.

Việc tiết lộ lỗ hổng được Akamai phối hợp chặt chẽ với nhà nghiên cứu bảo mật James Kettle từ PortSwigger. Thời điểm công bố công khai được căn chỉnh với việc trình bày nghiên cứu liên quan tại hội nghị BlackHat 2025. Sự phối hợp này là một ví dụ điển hình về tiết lộ lỗ hổng có trách nhiệm.

Khoản tiền thưởng bug bounty cho việc phát hiện lỗ hổng này được Akamai và PortSwigger cùng tài trợ. Toàn bộ số tiền này đã được quyên góp cho 42nd Street, một tổ chức từ thiện sức khỏe tâm thần có sứ mệnh hỗ trợ thanh thiếu niên. Cách tiếp cận hợp tác này không chỉ giải quyết vấn đề kỹ thuật mà còn thể hiện trách nhiệm xã hội và sự hợp tác hiệu quả trong ngành bảo mật.

Bạn có thể tìm hiểu thêm về cách Akamai xử lý các báo cáo lỗ hổng bảo mật và cam kết của họ đối với an toàn thông tin tại Akamai Vulnerability Reporting. Ngoài ra, để khám phá các công cụ và nghiên cứu hàng đầu về bảo mật web, hãy truy cập PortSwigger – đơn vị nổi tiếng với Burp Suite và các nghiên cứu về HTTP Request Smuggling.

Ý Nghĩa Bảo Mật và Bài Học Rút Ra từ Lỗ Hổng HTTP Request Smuggling

Lỗ hổng này một lần nữa nhấn mạnh những thách thức liên tục trong việc triển khai giao thức HTTP, đặc biệt trong các hệ thống phân tán phức tạp như CDN. Các tính năng kế thừa như gấp dòng lỗi thời, dù đã cũ, vẫn có thể tạo ra những tác động bảo mật không mong muốn và nghiêm trọng trong các triển khai cơ sở hạ tầng hiện đại.

Việc hiểu rõ cơ chế của HTTP Request Smuggling và các biến thể của nó là cực kỳ quan trọng đối với các chuyên gia an ninh mạng. Bài học từ CVE-2025-32094 khẳng định tầm quan trọng của việc kiểm tra kỹ lưỡng các tương tác giao thức và đảm bảo rằng tất cả các thành phần trong chuỗi xử lý lưu lượng đều có cùng một cách diễn giải dữ liệu để đảm bảo an toàn thông tin tối đa.