研究人员发现Akamai组态错误配置漏洞有功,但奖金是向该公司客户陈情得到的

两名研究人员Jacopo Tediosi、Francesco Mariani发现,Akamai在处理HTTP标头的错误配置,有可能让攻击者得以利用任意内容来毒化缓存。研究人员指出,这项弱点是结合了HTTP挟持与逐节点(hop-by-hop)标题滥用手法,将影响使用Akamai服务的大多客户,包含美国国防部、PayPal、Airbnb、微软、苹果等,攻击者可利用这项漏洞随意篡改受害公司的网站外观及行为。

研究人员Jacopo Tediosi、Francesco Mariani为了对他们发现的漏洞进行概念性验证,他们使用了PayPal域名架设新的缓存网页,但经过漏洞利用后,内容被置换成Akamai另一家客户电信企业Sky Mobile网站上的robots.txt。

这两名研究人员首先于3月下旬通报Akamai,该公司于4月初着手修补。但不幸的是,该公司没有打算提供报酬。于是,研究人员决定也向Akamai的客户通报此事,结果他们从安全企业Whitejar、PayPal、Airbnb、凯悦饭店分别获得5,000美元、25,200美元、14,875美元、4,000美元。

研究人员表示,虽然他们想到了变通的方法而没有做白工,但因为Akamai没有漏洞悬赏制度,其他研究人员若是找到该公司系统的漏洞,很可能因为无法获得报酬而不给通报,甚至将漏洞卖给黑市。