Akamai는 LayerX를 인수하여 모든 브라우저에서 엔드투엔드 보안과 실시간 AI 사용 제어 기능을 제공합니다. 자세한 정보

CVE-2025-54142: OPTIONS 및 본문을 통한 HTTP 요청 스머글링

Akamai Wave Blue

Aug 28, 2025

Akamai InfoSec

Akamai Wave Blue

에 의해 작성

Akamai InfoSec

공유

Akamai는 일부 오리진 서버가 요청 본문이 포함된 OPTIONS 요청을 처리하는 방식으로 인해 발생하는 잠재적인 HTTP 요청 스머글링 취약점(CVE-2025-54142)을 제거했습니다.

RFC 9110에 설명된 HTTP OPTIONS 요청 메서드는 클라이언트가 서버의 특정 URL에 허용되는 옵션을 확인하는 데 사용할 수 있습니다. 주요 용도는 교차 오리진 리소스 공유(CORS)의 맥락에서 브라우저가 실제 요청을 실행하기 전에 멱등성 방식으로 요청을 '프리플라이트'할 수 있도록 하는 것입니다.

실제로는 드물지만, OPTIONS 메서드는 엔티티 본문을 함께 전달할 수 있습니다.RFC 9110에 따르면 이러한 요청에 대한 알려진 유효한 사용 사례는 없으며, 알려진 브라우저나 모바일 클라이언트는 일반적으로 이러한 종류의 요청을 실행하지 않습니다.

세부 사항

RFC를 준수하지 않는 특정 오리진 스택은 Akamai 프록시 서버에서 요청 본문을 전달할 때 해당 본문을 제대로 처리하지 못해 프록시와 오리진 서버 간의 지속적 연결에 페이로드가 남아 있을 수 있습니다.

이후 동일한 오리진에 대한 일반 HTTP 요청을 추가하면 오리진이 스머글링 요청을 해석하도록 트리거할 수 있습니다.

이는 오리진 서버의 구성에 따라 공격자에게 캐시 포이즈닝 또는 기타 보안 관련 위협을 가할 수 있는 기회를 제공했습니다.

방어

2025년 7월 21일에 배포한 WAF Rapid Rule로 이 특정 요청 스머글링 기법을 차단한 것 외에도, 본문이 포함된 모든 OPTIONS 요청에 대해 오리진 및 클라이언트와의 연결을 종료해 이 공격은 물론 이와 유사한 공격 기법을 제거하는 플랫폼 전체 변경 사항을 별도로 구현했습니다. 이 변경 사항은 2025년 8월 11일에 완전히 배포되었습니다.

Akamai Wave Blue

Aug 28, 2025

Akamai InfoSec

Akamai Wave Blue

에 의해 작성

Akamai InfoSec

태그

공유

관련 블로그 게시물

보안 리서치
Xurum: 새로운 Magento 캠페인 발견
Akamai 연구원들은 정교한 신종 Magento 위협을 발견하고 분석했으며, 이를 Xurum이라고 명명했습니다. 이 블로그 게시물에서 공격에 대한 세부 정보와 발견한 내용들을 확인하세요.
보안 리서치
스크레이핑 소리가 들리시나요? 웹 스크레이퍼 봇이 이커머스 수익성을 악화시키는 방법
June 25, 2024
이커머스 관련 SOTI 보고서에서는 웹 스크레이퍼 봇의 경제적 영향, 탐지 과제, 정교함에 대해 설명합니다.
사이버 보안
측면 이동 공격에 취약한 Linux
June 28, 2023
측면 이동이 Windows로만 가능한 것은 아닙니다. 측면 이동으로 스스로를 보호하는 데 활용할 수 있는 Linux의 프로토콜을 검토해 보겠습니다.