HTTPリクエスト・スマグリング攻撃手法の新たな亜種が、広く利用されている複数のコンテンツデリバリネットワーク(CDN)、大手組織、数百万のウェブサイトに影響を与えました。
アプリケーションセキュリティ企業PortSwiggerのリサーチディレクターであるJames Kettle氏は、水曜日にBlack Hatカンファレンスで新たな攻撃手法を発表しました。Kettle氏は、バグバウンティハンターのチームを含む複数の協力者とともに、影響を受けた組織を特定し、リスクについて通知しました。
HTTPリクエスト・スマグリング(デシンク攻撃とも呼ばれる)は、ウェブサーバがHTTPリクエストを処理する際の不一致を利用し、攻撃者が正規のリクエスト内に悪意のあるリクエストを「密輸」できるようにする手法です。
この問題は、サーバー(通常はロードバランサーやプロキシとして機能するフロントエンドサーバーと、ウェブサイトをホストするバックエンドサーバー)が、HTTPリクエストの終了位置と次のリクエストの開始位置をどのように判定するかに関連しています。
攻撃者は特別に細工したリクエストを作成し、フロントエンドサーバーがそれをバックエンドサーバーに転送することで、バックエンドサーバーを実際よりも短いリクエスト長だと誤認させ、リクエストの残りの部分を接続バッファに残して次のリクエストに付加させることができます。
攻撃者は、悪意のある部分が接続バッファに残り、攻撃者の直後に正規ユーザーによって開始されたリクエストに付加されるようにリクエストを細工できます。攻撃者のリクエストは、被害者のセッションを盗む、被害者を偽(フィッシング)サイトにリダイレクトする、またはウェブキャッシュを汚染し、他のユーザーに悪意のあるページを配信させるように設計できます。
HTTPリクエスト・スマグリングの存在は20年以上前から知られており、2016年以降、少なくとも6つ以上の新しいバリエーションが発見されています。
Kettle氏が発見した新たな亜種は、HTTP/1.1の脆弱性を利用し、0.CL(CL.0のバリエーション)と呼ばれる攻撃手法を含みます。
広告。スクロールして続きを読む。
Kettle氏と他の研究者たちは、多くの影響を受けたサーバーを特定しました。その中には、T-Mobileの本番環境外サーバー(T-Mobileは12,000ドルのバグバウンティを支払いました)、バグバウンティプログラムに送信されたレポートを公開していたGitLabサーバー(7,000ドルのバグバウンティが支払われました)、NetlifyのCDNシステムなどが含まれます。
しかし、彼らはすぐに多くのターゲットがAkamaiのCDNを利用していることに気付きました。さらに分析したところ、根本的な原因はAkamaiのインフラストラクチャにおける脆弱性であることが判明しました。同社はこの問題にCVE-2025-32094を割り当て、迅速に対応を開始しました。
Akamaiは9,000ドルのバグバウンティを支払い、水曜日に技術的詳細を共有するブログ記事を公開しました。
Kettle氏によると、この攻撃により、Akamaiを利用するほぼすべての企業(テックジャイアント、米国政府機関、SaaSプロバイダーを含む)からユーザー認証情報が大量に侵害される可能性がありました。
Cloudflareも影響を受けましたが、こちらはHTTP/1.1の脆弱性を利用した別のHTTPリクエスト・スマグリング攻撃でした。インターネットセキュリティおよびパフォーマンス大手のCloudflareの場合、研究者たちはCloudflareによって保護されている数百万のウェブサイトの訪問者を自分たちが管理するサイトにリダイレクトできることを発見しました。
Cloudflareは問題の対応を急ぎ、7,000ドルのバグバウンティを支払いました。同社はまた、問題の詳細と解決方法を説明するブログ記事も公開しました。
全体として、研究者たちは数十社に調査結果を報告し、合計276,000ドルのバグバウンティを受け取りました。
Kettle氏は、水曜日にブログ記事を公開し、調査結果の詳細を説明するとともに、業界に対して、このような攻撃を可能にする脆弱性を解消するHTTP/2+への移行を強く呼びかけました。