ثغرة Apache HTTP/2 الحرجة CVE-2026-23918: خطأ Double-Free يُسقط خوادمك أو يمنح المهاجم تنفيذ أوامر عن بُعد

كشف باحثون أمنيون عن ثغرة حرجة في معالج بروتوكول HTTP/2 داخل خادم Apache HTTP Server — الخادم الذي تعتمد عليه ملايين المواقع والأنظمة المالية حول العالم. الثغرة المُصنّفة CVE-2026-23918 بدرجة خطورة CVSS 8.8 تسمح لمهاجم غير مُصادَق بتعطيل الخادم بالكامل أو تنفيذ أوامر عشوائية عليه — كل ذلك بإرسال إطارين فقط عبر اتصال TCP واحد.

ما طبيعة ثغرة Double-Free في mod_http2؟

تكمن المشكلة في وحدة mod_http2 تحديداً في ملف h2_mplx.c المسؤول عن إدارة تدفقات HTTP/2 المتعددة. عندما يُرسل العميل إطار HEADERS لبدء تدفق جديد ثم يُتبعه فوراً بإطار RST_STREAM برمز خطأ غير صفري — قبل أن يُسجّل المُضاعِف (multiplexer) التدفق — يحدث خطأ تحرير مزدوج (double-free) في مسار تنظيف التدفق. بمعنى أبسط: الخادم يحاول تحرير نفس كتلة الذاكرة مرتين، مما يُفسد بنية الذاكرة الداخلية ويفتح الباب أمام سيناريوهات استغلال متعددة.

سيناريو الاستغلال الأول: تعطيل الخدمة (DoS)

الاستغلال الأبسط لا يتطلب أي تعقيد تقني. اتصال TCP واحد يحمل إطارين كافٍ لإسقاط عملية عامل (worker process) في Apache. صحيح أن Apache يُعيد تشغيل العملية تلقائياً، لكن كل الطلبات التي كانت قيد المعالجة على تلك العملية تُفقد. والأخطر: يمكن للمهاجم تكرار هذا النمط بشكل مستمر لإبقاء الخادم في حالة عدم استقرار دائمة — بدون مصادقة، بدون ترويسات خاصة، وبدون استهداف مسار URL محدد.

سيناريو الاستغلال الثاني: تنفيذ أوامر عن بُعد (RCE)

نُشر إثبات مفهوم (PoC) عملي يُظهر إمكانية تنفيذ أوامر عن بُعد على معمارية x86_64. تعتمد التقنية على وضع بنية h2_stream مزيفة في العنوان الافتراضي المُحرَّر عبر إعادة استخدام mmap، ثم توجيه دالة تنظيف المجمّع (pool cleanup function) إلى system()، مع استخدام ذاكرة لوحة النتائج (scoreboard) في Apache كحاوية مستقرة للبنى المزيفة وسلسلة الأوامر. المسار إلى RCE يعتمد على استخدام مُخصص mmap في مكتبة APR — وهو الإعداد الافتراضي في توزيعات Debian وصورة Docker الرسمية لـ httpd.

الإصدارات المتأثرة وشروط الاستغلال

تتأثر الأنظمة التي تشغّل Apache HTTP Server إصدار 2.4.66 مع تفعيل وحدة mod_http2 تحت إعدادات MPM متعددة الخيوط مثل worker و event. إعداد MPM prefork غير متأثر. يجدر التنبيه أن كثيراً من المؤسسات المالية في المنطقة تستخدم Apache كبوابة عكسية (reverse proxy) أو موازن حمل أمام تطبيقاتها الداخلية — مما يجعل سطح الهجوم أوسع مما قد يبدو للوهلة الأولى. كما أن حاويات Docker الرسمية تأتي بالإعداد الافتراضي الأكثر عرضة للاستغلال.

التأثير على المؤسسات المالية السعودية

تشترط ضوابط الأمن السيبراني لساما (SAMA CSCC) — تحديداً ضوابط إدارة الثغرات والتصحيح — أن تحافظ المؤسسات المالية على دورة تصحيح صارمة للثغرات الحرجة. ثغرة بدرجة 8.8 مع إثبات مفهوم منشور علنياً وإمكانية استغلال بدون مصادقة تقع حكماً في فئة "التصحيح الفوري" وفق معايير SAMA. كذلك يُلزم إطار NCA ECC (الضابط 2-7-3) بتطبيق التحديثات الأمنية الحرجة خلال إطار زمني لا يتجاوز 72 ساعة من الإعلان عنها.

من منظور PCI-DSS (المتطلب 6.3.3)، يجب تثبيت التصحيحات الأمنية الحرجة خلال شهر واحد من إصدارها — لكن مع وجود PoC عام، فإن الانتظار شهراً كاملاً يُعدّ مخاطرة غير مقبولة. أي مؤسسة تُشغّل بوابة دفع أو تطبيقاً مالياً خلف Apache مع HTTP/2 مُفعّل تواجه خطراً مباشراً على استمرارية الخدمة وسلامة البيانات.

التوصيات والخطوات العملية

1. الترقية الفورية إلى Apache 2.4.67: هذا هو الإصلاح الجذري. الإصدار الجديد يُعالج خطأ التحرير المزدوج في مسار تنظيف التدفق بالكامل.
2. تعطيل HTTP/2 مؤقتاً إذا تعذّر التحديث: أزل أو علّق توجيه Protocols h2 h2c من إعدادات Apache وأعد تشغيل الخدمة. هذا يُزيل سطح الهجوم بالكامل كإجراء مؤقت.
3. حصر الأنظمة المتأثرة: نفّذ مسحاً فورياً لتحديد كل مثيلات Apache 2.4.66 في بيئتك — بما في ذلك الحاويات وصور Docker والخوادم العكسية.
4. مراجعة إعدادات MPM: تحقق من إعدادات MPM المستخدمة. إذا كنت تستخدم prefork فأنت أقل عرضة لـ RCE، لكن DoS يبقى قائماً.
5. تفعيل قواعد WAF مؤقتة: أضف قواعد في جدار حماية التطبيقات لاكتشاف أنماط RST_STREAM المتكررة فور إنشاء التدفق — كمؤشر على محاولة استغلال.
6. مراقبة سجلات Apache: راقب رسائل الأخطاء المتعلقة بتعطل عمليات العمال (worker crashes) أو أخطاء تحرير الذاكرة كمؤشرات على محاولات استغلال نشطة.
7. توثيق الإجراءات: سجّل جميع خطوات التقييم والتصحيح في سجل إدارة الثغرات لديك استعداداً لأي مراجعة رقابية من SAMA أو NCA.

الخلاصة

ثغرة CVE-2026-23918 تُذكّرنا بأن البنية التحتية الأساسية — خوادم الويب التي نعتبرها مستقرة ومجرّبة — ليست محصّنة ضد الأخطاء الحرجة. خادم Apache يعمل بصمت خلف كثير من الأنظمة المالية والبوابات الإلكترونية، واستغلال بهذه البساطة (إطاران فقط) يجعل المعادلة واضحة: إما التصحيح الآن أو قبول مخاطرة تعطيل الخدمة واختراق الخادم. مع وجود إثبات مفهوم منشور، لم يعد السؤال "هل سيُستغل؟" بل "متى سيُستغل ضدك؟"

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وفحص شامل لثغرات البنية التحتية.