ثغرة Apache HTTP/2 الحرجة CVE-2026-23918: تنفيذ كود عن بُعد يهدد ملايين الخوادم

كشف باحثون أمنيون عن ثغرة حرجة من نوع Double-Free في وحدة mod_http2 بخادم Apache HTTP Server 2.4.66، تحمل المعرّف CVE-2026-23918 بتقييم خطورة CVSS 8.8. الثغرة تُمكّن مهاجماً غير مُصادَق من تعطيل الخدمة بالكامل (DoS) أو تنفيذ كود خبيث بصلاحيات الخادم (RCE)، وقد رُصد استغلال نشط لها في عمليات مسح واسعة النطاق تستهدف نقاط نهاية HTTP/2 حول العالم.

التفاصيل التقنية لثغرة CVE-2026-23918

تكمن الثغرة في مسار تنظيف التدفقات (stream cleanup path) داخل ملف h2_mplx.c في وحدة mod_http2. يحدث الاستغلال عندما يرسل المهاجم إطار HEADERS عبر بروتوكول HTTP/2 متبوعاً فوراً بإطار RST_STREAM يحمل رمز خطأ غير صفري على نفس التدفق، قبل أن يُسجّل المُعدِّد (multiplexer) هذا التدفق في جداوله الداخلية. هذا التسلسل يؤدي إلى تحرير مزدوج لنفس منطقة الذاكرة.

سيناريو تعطيل الخدمة (DoS) بسيط التنفيذ ويعمل على أي نشر افتراضي يستخدم mod_http2 مع وحدة MPM متعددة الخيوط (multi-threaded MPM). أما سلسلة تنفيذ الكود عن بُعد (RCE) فتتطلب أن يستخدم خادم Apache مكتبة APR مع مُخصّص ذاكرة mmap — وهو الإعداد الافتراضي في توزيعات Debian وصورة Docker الرسمية لـ httpd.

في سلسلة RCE، يضع المهاجم بنية h2_stream مزيّفة في العنوان الافتراضي المُحرَّر عبر إعادة استخدام mmap، ثم يوجّه دالة تنظيف المجمع (pool cleanup function) إلى system()، مستخدماً ذاكرة scoreboard في Apache كحاوية مستقرة للبنى المزيّفة وسلسلة الأوامر المراد تنفيذها.

نطاق التأثير والأنظمة المعرّضة

يُشغّل Apache HTTP Server أكثر من 30% من مواقع الإنترنت عالمياً، مما يجعل هذه الثغرة من أوسع الثغرات تأثيراً في 2026. كل خادم يعمل بالإصدار 2.4.66 مع تفعيل mod_http2 ووحدة MPM متعددة الخيوط معرّض للخطر. الخوادم التي تستخدم وحدة MPM prefork ليست عرضة لهذه الثغرة تحديداً.

رصدت فرق استخبارات التهديدات عمليات مسح واسعة النطاق تستهدف نقاط نهاية HTTP/2 المكشوفة على الإنترنت، مما يؤكد أن الاستغلال النشط لسيناريو DoS قد بدأ فعلاً. المهاجمون يبحثون عن خوادم Apache مكشوفة لم تُحدَّث بعد، وتصعيد الهجوم من DoS إلى RCE مسألة وقت على الأنظمة المبنية على Debian.

التأثير المباشر على المؤسسات المالية السعودية

تعتمد كثير من المؤسسات المالية الخاضعة لرقابة البنك المركزي السعودي (SAMA) على خوادم Apache في بواباتها الإلكترونية، وأنظمة الخدمات المصرفية عبر الإنترنت، وواجهات برمجة التطبيقات (APIs) التي تخدم تطبيقات الهاتف المحمول. استغلال هذه الثغرة قد يؤدي إلى توقف كامل للخدمات المصرفية الرقمية أو — في السيناريو الأسوأ — اختراق الخادم وتنفيذ أوامر خبيثة على البنية التحتية.

يُلزم إطار SAMA CSCC المؤسسات المالية بتطبيق تحديثات الأمان الحرجة خلال إطار زمني محدد، كما يتطلب معيار NCA ECC وجود برنامج إدارة ثغرات فعّال يتضمن مسحاً دورياً وترقيعاً استباقياً. التأخر في معالجة CVE-2026-23918 لا يُعرّض البنية التحتية للخطر فحسب، بل يُشكّل مخالفة تنظيمية قد تستتبع عقوبات من الجهات الرقابية.

كذلك يفرض معيار PCI-DSS متطلبات صارمة حول إدارة الثغرات (Requirement 6)، تشمل تطبيق التصحيحات الأمنية الحرجة خلال 30 يوماً من صدورها. خوادم Apache التي تعالج بيانات بطاقات الدفع وتعمل بالإصدار المصاب تُعتبر في حالة عدم امتثال فوري.

التوصيات والخطوات العملية

1. الترقية الفورية إلى Apache 2.4.67: هذا هو الإصلاح الوحيد الكامل. نفّذ الترقية على جميع خوادم Apache في بيئات الإنتاج والتطوير والاختبار خلال 72 ساعة كحد أقصى.
2. تعطيل HTTP/2 مؤقتاً كإجراء طوارئ: إذا تعذّرت الترقية الفورية، أزل توجيه Protocols h2 h2c من إعدادات Apache أو أضف Protocols http/1.1 لتقييد البروتوكول إلى HTTP/1.1 حتى اكتمال التحديث.
3. مسح شامل للبنية التحتية: استخدم أدوات مثل Nessus أو Qualys أو OpenVAS لتحديد جميع مثيلات Apache 2.4.66 في شبكتك، بما في ذلك الخوادم المنسية في بيئات DMZ والشبكات الفرعية.
4. مراجعة سجلات WAF وIDS: ابحث عن أنماط إطارات HTTP/2 HEADERS متبوعة بـ RST_STREAM سريعة التتابع. هذا النمط مؤشر قوي على محاولات استغلال CVE-2026-23918.
5. تقييم التأثير على الامتثال: وثّق الإجراءات المتخذة وأطرها الزمنية لإثبات الالتزام بمتطلبات SAMA CSCC وNCA ECC وPCI-DSS أمام المدققين.
6. اختبار اختراق مُستهدَف: بعد الترقية، نفّذ اختبار اختراق يركّز على طبقة HTTP/2 للتحقق من فعالية الإصلاح وعدم وجود نقاط ضعف متبقية.

الخلاصة

ثغرة CVE-2026-23918 تُمثّل تهديداً استثنائياً نظراً لانتشار Apache الواسع، وسهولة استغلال سيناريو DoS، وإمكانية تصعيده إلى تنفيذ كود عن بُعد. المؤسسات المالية السعودية التي تُشغّل Apache HTTP Server يجب أن تتعامل مع هذه الثغرة كأولوية قصوى — الترقية إلى الإصدار 2.4.67 ليست خياراً بل ضرورة تنظيمية وتشغيلية.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل مسحاً شاملاً للثغرات الحرجة في بنيتك التحتية.