Akamai Technologies ha revelado una vulnerabilidad crítica de contrabando de solicitudes HTTP, identificada como CVE-2025-32094, que afectaba a su plataforma de red de entrega de contenido (CDN). Esta falla permitía a los atacantes inyectar solicitudes secundarias ocultas, aprovechando una sofisticada técnica de explotación. La vulnerabilidad fue descubierta a través del programa de recompensas por errores de la compañía y ha sido completamente resuelta, sin que se haya encontrado evidencia de explotación en entornos reale
Detalles Técnicos de la Vulnerabilidad
La falla de seguridad se originaba en una compleja interacción entre múltiples errores de procesamiento dentro de la infraestructura de los servidores de borde de Akamai. Específicamente, la vulnerabilidad se manifestaba cuando las peticiones HTTP/1.x, enviadas por los clientes, incluían un encabezado «Expect: 100-continue» y utilizaban una técnica obsoleta conocida como plegado de líneas.
La combinación de estos elementos creaba una peligrosa desincronización en la forma en que los diferentes servidores de Akamai interpretaban la misma solicitud. El ataque explotaba dos fallas de implementación distintas que actuaban en conjunto:
- Manejo del Encabezado: Un servidor de borde inicial de Akamai eliminaba correctamente el plegado de líneas, pero debido a un error de software, no respetaba el encabezado
Expect: 100-continue. - Procesamiento de Solicitudes: Existía una segunda falla que impedía el correcto reenvío de solicitudes de tipo
OPTIONSque contenían un cuerpo.
La combinación de estos errores creaba una discrepancia en la que dos servidores de Akamai interpretaban la misma solicitud de manera diferente. Esto permitía a los atacantes contrabandear solicitudes maliciosas dentro del cuerpo de la solicitud original.
Respuesta y Colaboración de la Industria
Akamai respondió de forma inmediata al informe de la vulnerabilidad, implementando una solución a nivel de plataforma que protegió automáticamente a todos sus clientes sin necesidad de que estos realizaran cambios de configuración.
La compañía coordinó la divulgación con el investigador de seguridad James Kettle de PortSwigger, y el anuncio público coincidió con una investigación relacionada que se presentó en la conferencia BlackHat 2025. La recompensa por el hallazgo de la vulnerabilidad fue financiada conjuntamente por Akamai y PortSwigger, y la suma total fue donada a 42nd Street, una organización benéfica de salud mental juvenil. Este enfoque colaborativo destaca la importancia de una cooperación efectiva en la divulgación responsable de vulnerabilidades.
La vulnerabilidad subraya los retos persistentes en la implementación de protocolos como HTTP en sistemas distribuidos complejos, especialmente cuando se trata de características heredadas, como el plegado de líneas, que pueden generar implicaciones de seguridad inesperadas en infraestructuras modernas.
