Akamai는 일부 오리진 서버가 요청 본문이 포함된 OPTIONS 요청을 처리하는 방식으로 인해 발생하는 잠재적인 HTTP 요청 스머글링 취약점(CVE-2025-54142)을 제거했습니다.
RFC 9110에 설명된 HTTP OPTIONS 요청 메서드는 클라이언트가 서버의 특정 URL에 허용되는 옵션을 확인하는 데 사용할 수 있습니다. 주요 용도는 교차 오리진 리소스 공유(CORS)의 맥락에서 브라우저가 실제 요청을 실행하기 전에 멱등성 방식으로 요청을 '프리플라이트'할 수 있도록 하는 것입니다.
실제로는 드물지만, OPTIONS 메서드는 엔티티 본문을 함께 전달할 수 있습니다.RFC 9110에 따르면 이러한 요청에 대한 알려진 유효한 사용 사례는 없으며, 알려진 브라우저나 모바일 클라이언트는 일반적으로 이러한 종류의 요청을 실행하지 않습니다.
세부 사항
RFC를 준수하지 않는 특정 오리진 스택은 Akamai 프록시 서버에서 요청 본문을 전달할 때 해당 본문을 제대로 처리하지 못해 프록시와 오리진 서버 간의 지속적 연결에 페이로드가 남아 있을 수 있습니다.
이후 동일한 오리진에 대한 일반 HTTP 요청을 추가하면 오리진이 스머글링 요청을 해석하도록 트리거할 수 있습니다.
이는 오리진 서버의 구성에 따라 공격자에게 캐시 포이즈닝 또는 기타 보안 관련 위협을 가할 수 있는 기회를 제공했습니다.
방어
2025년 7월 21일에 배포한 WAF Rapid Rule로 이 특정 요청 스머글링 기법을 차단한 것 외에도, 본문이 포함된 모든 OPTIONS 요청에 대해 오리진 및 클라이언트와의 연결을 종료해 이 공격은 물론 이와 유사한 공격 기법을 제거하는 플랫폼 전체 변경 사항을 별도로 구현했습니다. 이 변경 사항은 2025년 8월 11일에 완전히 배포되었습니다.
태그
