كشفت مؤسسة Apache في الخامس من مايو 2026 عن ثغرة حرجة في خادم Apache HTTP Server تحمل المعرّف CVE-2026-23918 بدرجة خطورة CVSS 8.8، تسمح للمهاجمين بتنفيذ كود عن بُعد (RCE) واستغلال هجمات حجب الخدمة (DoS) عبر بروتوكول HTTP/2. تمثّل الثغرة تهديداً مباشراً للبنية التحتية الرقمية للمؤسسات المالية السعودية، ولا سيما تلك التي تعتمد على Apache في تشغيل بوابات الخدمات الإلكترونية وواجهات API.

تفاصيل ثغرة Double-Free في mod_http2

الثغرة عبارة عن خطأ Double-Free يقع في وحدة mod_http2 داخل ملف h2_mplx.c، تحديداً في مسار تنظيف الـ stream. يتم تفعيل الثغرة عند إرسال إطار HEADERS متبوعاً مباشرة بإطار RST_STREAM يحمل رمز خطأ غير صفري على نفس الـ stream، وهو ما يُعرف بـ "Early Stream Reset". تؤدي هذه السلسلة إلى إضافة مؤشر h2_stream نفسه إلى مصفوفة التنظيف مرتين، فيُحرَّر مرتين خلال دورة التنظيف.

تتأثر النسخة 2.4.66 فقط، وتم إصلاح المشكلة في النسخة 2.4.67. شرط الاستغلال الأساسي هو استخدام MPM متعدد الخيوط مثل event أو worker. أما MPM prefork فلا يتأثر بالثغرة. كما يتطلب تنفيذ الكود عن بُعد أن يستخدم Apache Portable Runtime مخصص الذاكرة mmap، حيث يستطيع المهاجم وضع هيكل h2_stream مزيّف في العنوان الافتراضي المحرَّر وتوجيه دالة pool cleanup إلى استدعاء system() عبر إعادة استخدام scoreboard memory كحاوية مستقرة.

ميزة الاستغلال الجماعي وحجب الخدمة

هجوم حجب الخدمة بسيط للغاية ويعمل على أي نشر افتراضي يحتوي mod_http2 وMPM متعدد الخيوط. يكفي إرسال طلبات HTTP/2 مصمَّمة بدقة لإسقاط الخادم. تشير تقارير Hadrian وSOCRadar إلى أن النسخة 2.4.66 منتشرة بشكل كبير في خوادم الإنتاج التي حُدّثت حديثاً، إذ صدرت في أبريل 2026، مما يضع آلاف الواجهات المصرفية والـ API في خطر مباشر.

الأخطر أن HTTP/2 مفعّل افتراضياً في معظم بيئات Apache الحديثة لتحسين الأداء، ولا تتطلب الثغرة مصادقة أو تفاعل مستخدم — مما يجعلها مثالية للأتمتة في حملات الاستغلال الجماعي. لم تؤكد Apache بعد وجود استغلال نشط، لكن الباحثين رصدوا محاولات مسح متزايدة منذ نشر التفاصيل.

التأثير على المؤسسات المالية السعودية

تعتمد كثير من البنوك السعودية الخاضعة لـ SAMA على Apache HTTP Server كطبقة عكسية أمام تطبيقات الخدمات الإلكترونية والبوابات الإسلامية وواجهات Open Banking المتوافقة مع SAMA Open Banking Framework. أي اختراق لهذه الطبقة يعني تجاوزاً مباشراً لضوابط SAMA CSCC 3.3.5 (Application Security) و3.3.14 (Cybersecurity Event Logs and Monitoring).

كما تتقاطع المخاطر مع متطلبات NCA ECC-2:2024 ضمن المجال الفرعي 2-10 (Web Application Security)، ومتطلب 5-2-3 لإدارة الثغرات. وفي حال احتواء الخادم على بيانات حاملي البطاقات أو وسطاء معالجة الدفع، تصبح الحادثة مخالفة مباشرة لـ PCI-DSS v4.0.1 - Requirement 6.3.3 (تطبيق التصحيحات الحرجة خلال شهر واحد)، إلى جانب إشكاليات إخطار المتأثرين خلال 72 ساعة بموجب نظام حماية البيانات الشخصية PDPL.

التوصيات والخطوات العملية

  1. الترقية الفورية إلى Apache HTTP Server 2.4.67 على جميع خوادم الإنتاج والـ staging والاختبار، مع التحقق من السلامة عبر httpd -V وapachectl -M | grep http2.
  2. كإجراء طارئ مؤقت، تعطيل HTTP/2 عبر إزالة Protocols h2 h2c من ملفات الإعداد، أو تعطيل وحدة mod_http2 بالكامل ريثما يكتمل اختبار التصحيح.
  3. تحويل MPM إلى prefork في الخوادم غير الحساسة للأداء، حيث إنها غير قابلة للاستغلال.
  4. تفعيل قواعد كشف خاصة في WAF (مثل F5 ASM وImperva وModSecurity) لرصد سلسلة HEADERS ثم RST_STREAM السريعة على نفس الـ stream.
  5. مراجعة سجلات SIEM للأسبوعين الماضيين للبحث عن أنماط مشبوهة في حركة HTTP/2، خاصة الأخطاء غير المتوقعة في عملية httpd.
  6. تشغيل فحص ثغرات شامل عبر Tenable Nessus أو Qualys VMDR على كامل الخوادم العامة والخاصة، وتوثيق النتائج في سجل المخاطر وفق SAMA CSCC 3.3.13.
  7. تحديث خطة الاستجابة للحوادث IRP لتشمل سيناريو استغلال CVE-2026-23918، وتدريب فريق SOC على المؤشرات (IoCs) ذات الصلة.

الخلاصة

تُعد ثغرة CVE-2026-23918 تذكيراً مهماً بأن طبقة بروتوكولات الويب الحديثة لا تخلو من المخاطر، وأن أداة بسيطة مثل HTTP/2 يمكن أن تتحول إلى ناقل دخول حرج للمهاجمين. على البنوك السعودية والمؤسسات المالية الخاضعة لـ SAMA التحرك خلال أيام لا أسابيع، حيث تنتقل النسخة 2.4.66 من حالة "آمنة نسبياً" إلى "هدف مباشر" خلال أيام من النشر العلني للتفاصيل التقنية.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل فحص بنيتك الويبية وتحديد جاهزيتك لمواجهة ثغرات الـ HTTP/2 الحديثة.