2026년 2월 6일, Akamai는 맞춤형 홉 바이 홉(hop-by-hop) HTTP 헤더 처리 버그로 인한 잠재적인 HTTP 요청 스머글링 경로를 제거했습니다.
배경
HTTP는 첫 번째 프록시가 수신한 후 요청에서 즉시 제거하고 다음 서버로 전달하지 않도록 설계된 홉 바이 홉(hop-by-hop) 헤더 세트를 정의합니다.
클라이언트는 HTTP 표준에 명시된 홉 바이 홉 헤더 외에도 “Connection” 헤더에 해당 헤더 이름을 나열해 고유한 맞춤형 홉 바이 홉 헤더를 정의할 수 있습니다. 예를 들면 “Connection: My-Custom-Hop-By-Hop-Header”입니다.
취약점 세부 정보
Akamai Edge 서버에는 “Transfer-Encoding”을 맞춤형 홉 바이 홉 헤더로 지정하는 요청의 부적절한 처리로 인한 버그가 있었습니다. 특히 공격자는 “Connection: Transfer-Encoding” 헤더를 포함한 악성 요청을 만들어 부적절한 메시지 프레이밍이 포함된 전달 요청을 일으킴으로써 HTTP 요청 스머글링 공격을 발생시킬 수 있었습니다.
이 취약점이 실제로 악용될 수 있는지 여부는 특정 요청을 전송하기 위해 선택한 내부 Akamai 처리 경로와 해당 요청을 수신할 때 오리진 서버의 동작에 따라 달라집니다.
방어
Akamai는 2025년 12월 30일에 이 문제를 인지하고 즉시 조사를 시작했습니다. 2026년 2월 6일에 전체 수정본이 배포되어 모든 Akamai 서비스의 취약점이 완전히 제거되었습니다. 고객은 문제 해결 조치를 취할 필요가 없습니다.
Akamai는 정기적인 인시던트 대응 작업 및 취약점 분석의 일환으로 CVE-2026-26365를 통해 이 문제를 공개했습니다.
감사의 말
Akamai의 버그 바운티 프로그램을 통해 이 문제를 보고하고 조사에 협조해 주신 “Google Cloud의 Mandiant 팀의 제이크 머피(Jake Murphy)” 님에게 감사의 말씀을 전합니다.
태그
