ثغرة Apache HTTP/2 الحرجة CVE-2026-23918: Double-Free تتيح تنفيذ كود عن بعد وإسقاط الخوادم

كشف باحثان أمنيان عن ثغرة Double-Free حرجة في وحدة mod_http2 بخادم Apache HTTP Server 2.4.66، تحمل المعرّف CVE-2026-23918 وتقييم CVSS 8.8. الثغرة تتيح للمهاجم إسقاط الخادم بالكامل عبر اتصال TCP واحد وإطارين فقط، بل وتنفيذ كود عن بعد (RCE) في بيئات محددة — كل ذلك بدون أي مصادقة. مع اعتماد آلاف المؤسسات المالية والحكومية حول العالم على Apache كخادم ويب أساسي، فإن هذه الثغرة تشكّل تهديداً مباشراً للبنية التحتية الرقمية.

التفاصيل التقنية: كيف تعمل ثغرة Double-Free في mod_http2

تكمن الثغرة في مسار تنظيف التدفقات (stream cleanup path) داخل ملف h2_mplx.c في وحدة mod_http2. عندما يرسل العميل إطار HTTP/2 HEADERS متبوعاً فوراً بإطار RST_STREAM يحمل رمز خطأ غير صفري على نفس التدفق — قبل أن يسجّل المُضاعِف (multiplexer) التدفق — يحدث تحرير مزدوج (Double-Free) للذاكرة المخصصة لبنية h2_stream. هذا السباق الزمني بين تسجيل التدفق وإلغائه يفتح نافذة استغلال خطيرة.

الجانب الأخطر أن مسار الهجوم لا يتطلب أي شروط مسبقة: لا مصادقة، لا ترويسات خاصة، ولا مسار URL محدد. يكفي اتصال TCP واحد وإطاران لإسقاط عامل Apache بالكامل. وعلى الرغم من أن Apache يعيد تشغيل العامل تلقائياً، إلا أن جميع الطلبات المرتبطة بالعامل المنهار تُفقد، ويمكن للمهاجم إدامة هذا النمط لتحقيق حجب خدمة مستمر.

من حجب الخدمة إلى تنفيذ الكود: سيناريو RCE الواقعي

لم تقتصر خطورة الثغرة على حجب الخدمة. أثبت الباحثون إمكانية تصعيد الاستغلال إلى تنفيذ كود عن بعد في البيئات التي تستخدم مكتبة APR مع mmap — وهو التكوين الافتراضي في توزيعات Debian وصور Docker الرسمية لـ Apache. تعتمد تقنية الاستغلال على وضع بنية h2_stream مزيفة في العنوان الافتراضي المُحرَّر عبر إعادة استخدام mmap، ثم توجيه دالة تنظيف الذاكرة (pool cleanup function) نحو استدعاء system()، مع استغلال ذاكرة لوحة النتائج (scoreboard) في Apache كحاوية مستقرة للبنى المزيفة وسلسلة الأوامر.

ما يجعل هذا السيناريو واقعياً أن عنوان scoreboard ثابت حتى مع تفعيل ASLR، مما يلغي أحد أهم حواجز الحماية ضد استغلال الذاكرة. الاستثناء الوحيد هو وضع MPM prefork الذي لا يتأثر بمسار RCE. اكتشف الثغرة الباحثان Bartlomiej Dmitruk من Striga.ai وStanislaw Strzalkowski من ISEC.pl، وأُبلغ عنها في ديسمبر 2025، فيما صدر الإصلاح في الإصدار 2.4.67 بتاريخ 4 مايو 2026.

التأثير على المؤسسات المالية السعودية

يُعدّ Apache HTTP Server من أكثر خوادم الويب انتشاراً في البنية التحتية للمؤسسات المالية السعودية، سواء لتشغيل بوابات الخدمات المصرفية الإلكترونية أو واجهات برمجة التطبيقات (APIs) أو بوابات الدفع. ثغرة بهذه الخطورة تضع عدة متطلبات تنظيمية تحت الضوء مباشرة. إطار SAMA CSCC يُلزم المؤسسات المالية بتطبيق التحديثات الأمنية الحرجة ضمن إطار زمني محدد، كما يشترط وجود برنامج إدارة ثغرات فعّال يشمل الفحص الدوري والترقيع الاستباقي.

من جانب آخر، يتطلب معيار PCI-DSS في المتطلب 6.3.3 تطبيق التصحيحات الأمنية الحرجة خلال 30 يوماً من صدورها. وبما أن الإصدار المُصحَّح 2.4.67 صدر في 4 مايو 2026، فإن المهلة الفعلية تنتهي مطلع يونيو 2026. كذلك فإن ضوابط NCA ECC تشدد على حماية الأنظمة المكشوفة على الإنترنت وضمان استمرارية الأعمال، وثغرة DoS بهذه السهولة تُعدّ انتهاكاً مباشراً لهذه الضوابط إذا لم تُعالَج.

خطوات الحماية العاجلة

1. الترقية الفورية إلى Apache 2.4.67: هذا الإصدار يحتوي الإصلاح الكامل للثغرة. تحقق من جميع خوادم Apache في بيئتك بما فيها الحاويات وصور Docker التي تعتمد الإصدار 2.4.66.
2. تعطيل HTTP/2 مؤقتاً إذا تعذّرت الترقية: أزِل أو عطّل وحدة mod_http2 من تكوين Apache حتى تتمكن من تطبيق التحديث. يمكنك الاستمرار بخدمة HTTP/1.1 مؤقتاً دون تأثير وظيفي كبير.
3. فحص سجلات الخوادم: ابحث عن أنماط RST_STREAM المتكررة فور إرسال HEADERS في سجلات Apache. هذا النمط غير اعتيادي ويشير إلى محاولة استغلال محتملة.
4. تحديث قواعد WAF وIDS: أضف توقيعات كشف لتسلسل HEADERS+RST_STREAM السريع على نفس التدفق في أنظمة كشف التسلل وجدران الحماية لتطبيقات الويب.
5. جرد شامل لإصدارات Apache: نفّذ مسحاً لجميع الأصول الرقمية لتحديد أي خادم يعمل بالإصدار المتأثر 2.4.66، بما في ذلك البيئات التطويرية والاختبارية التي قد تكون مكشوفة.
6. مراجعة تكوين MPM: تحقق مما إذا كانت خوادمك تستخدم MPM event أو worker مع APR/mmap، فهذه البيئات معرضة لسيناريو RCE الكامل وليس DoS فقط.

الخلاصة

ثغرة CVE-2026-23918 تذكّرنا بأن البنية التحتية الأساسية — مثل خوادم الويب — تظل هدفاً مباشراً للمهاجمين. سهولة الاستغلال (إطاران فقط بدون مصادقة) وخطورة النتائج (من DoS إلى RCE) تجعل الترقية إلى Apache 2.4.67 أولوية لا تحتمل التأجيل. المؤسسات المالية السعودية الخاضعة لرقابة SAMA مطالبة بالتحرك الفوري لتجنب المخاطر التشغيلية والتنظيمية.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC واكتشاف الثغرات في بنيتك التحتية قبل أن يكتشفها المهاجمون.