Akamai vừa công bố một lỗ hổng trong hệ thống HTTP Request Smuggling, được định danh là CVE-2025-32094. Lỗ hổng này liên quan đến việc xử lý yêu cầu OPTIONS kết hợp với kỹ thuật "line folding" đã lỗi thời.
Theo Akamai, lỗ hổng này hình thành từ sự kết hợp giữa hai lỗi triển khai riêng biệt trong hệ thống xử lý HTTP/1.x:
Ngay khi nhận báo cáo từ chương trình săn lỗi, Akamai đã nhanh chóng triển khai bản vá trên toàn hệ thống, bảo vệ toàn bộ khách hàng và đồng thời thông tin minh bạch về tiến trình xử lý.
Hiện toàn bộ hệ thống của Akamai đã được vá và chưa ghi nhận trường hợp khai thác thành công nào. Vụ việc của lỗ hổng CVE-2025-32094 là minh chứng rõ ràng cho tầm quan trọng của quy trình công bố lỗ hổng có trách nhiệm và hợp tác trong ngành an ninh mạng. Nhờ việc phát hiện, phối hợp xử lý và truyền thông sớm, nguy cơ khai thác đã được loại bỏ trước khi tin tặc kịp lợi dụng.
Theo Akamai, lỗ hổng này hình thành từ sự kết hợp giữa hai lỗi triển khai riêng biệt trong hệ thống xử lý HTTP/1.x:
- Lỗi xử lý tiêu đề bị xuống dòng tự động:
- Trong “ngôn ngữ” của HTTP, phần Header giống như tờ giấy ghi chú kèm theo bưu kiện, cho biết bên nhận cần xử lý gói tin như thế nào.
- Trước đây, HTTP từng cho phép phần Header này trên nhiều dòng (gọi là line folding), nhưng sau này đã bỏ vì kẻ xấu có thể lợi dụng để giấu thông tin độc hại (tức là đã hợp nhất thành 1 dòng).
- Vấn đề xảy ra là khi edge server (máy chủ biên) của Akamai nhận các ghi chú kiểu cũ này, nó vẫn gộp các dòng lại đúng cách nhưng lại bỏ qua một ghi chú quan trọng tên là "Expect: 100-continue" do lỗi phần mềm.
- Lỗi xử lý yêu cầu OPTIONS có kèm phần nội dung
- Theo chuẩn HTTP, yêu cầu OPTIONS thường không kèm phần nội dung. Tuy nhiên, máy chủ của Akamai lại xử lý sai do một lỗi lập trình.
Hiện toàn bộ hệ thống của Akamai đã được vá và chưa ghi nhận trường hợp khai thác thành công nào. Vụ việc của lỗ hổng CVE-2025-32094 là minh chứng rõ ràng cho tầm quan trọng của quy trình công bố lỗ hổng có trách nhiệm và hợp tác trong ngành an ninh mạng. Nhờ việc phát hiện, phối hợp xử lý và truyền thông sớm, nguy cơ khai thác đã được loại bỏ trước khi tin tặc kịp lợi dụng.
Theo WhiteHat.vn
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview