أصدرت مؤسسة Apache في 5 مايو 2026 إصلاحاً عاجلاً لثغرة حرجة في وحدة mod_http2 تحمل الرقم CVE-2026-23918 وبتصنيف CVSS 8.8، تسمح للمهاجم غير المصادَق بإسقاط الخدمة أو تنفيذ شيفرة برمجية عن بُعد على الخادم. الثغرة تطال خوادم Apache HTTP Server 2.4.66 وتؤثر مباشرة على أي بنك سعودي يشغّل بوابات إلكترونية أو واجهات API خلف Apache، وهو سيناريو شائع في القطاع المالي الخاضع لرقابة البنك المركزي السعودي (SAMA).
التفاصيل التقنية لثغرة CVE-2026-23918
الثغرة عبارة عن تحرير مزدوج (double-free) في مسار تنظيف التدفق داخل ملف h2_mplx.c. يتم استغلالها عبر سلسلة "إعادة تعيين تدفق مبكر" حين يرسل العميل إطار HEADERS ثم يلحقه فوراً بإطار RST_STREAM بقيمة خطأ غير صفرية على نفس التدفق قبل أن يسجل المُضاعِف (multiplexer) هذا التدفق. النتيجة: تخريب في إدارة الذاكرة يقود إلى انهيار العامل (worker) على الأقل، ويفتح الباب أمام تنفيذ شيفرة عن بُعد عند توفّر استغلال متقدم.
هجوم حجب الخدمة هنا تافه التكلفة: اتصال TCP واحد، إطاران فقط، دون مصادقة أو رؤوس خاصة. يمكن لمهاجم غير معروف إغراق الخادم وإسقاط طلبات شرعية على عمال متعددين. أما تنفيذ الشيفرة فيتطلب قالب proof-of-concept يستخدم إعادة استخدام صفحات mmap لزرع بنية h2_stream مزيفة وتوجيه دالة تنظيف المجمّع نحو system().
نطاق التأثر والإصدارات المعرضة
الثغرة تخص حصراً Apache HTTP Server إصدار 2.4.66، وقد عالجتها مؤسسة Apache في الإصدار 2.4.67 الصادر في 4 مايو 2026. تتطلب الثغرة تشغيل Apache بوحدة معالجة متعددة الخيوط (worker أو event MPM)، فيما لا يتأثر prefork. في حال تعذر الترقية الفورية، فإن التخفيف المؤقت هو تعطيل mod_http2 بإزالته من ملف الإعدادات، مع ملاحظة أن الإصدار 2.4.67 يعالج أربع ثغرات أخرى يجب الانتباه إليها.
حتى تاريخ النشر، لم يُرصد استغلال فعلي علني، لكن نشر تفاصيل تقنية مفصّلة من قبل Hadrian وباحثي Apache يجعل ظهور أدوات استغلال جاهزة مسألة وقت قصير، وهو ما يحوّل الثغرة من مخاطرة نظرية إلى تهديد تشغيلي عاجل.
الأثر على المؤسسات المالية السعودية
كثير من البنوك وشركات الدفع في المملكة تعتمد Apache كخادم وكيل عكسي (reverse proxy) أمام منصات الإنترنت البنكي، أو خلف أحمال موازنة F5/NGINX، أو ضمن طبقات API لتطبيقات الأفراد والشركات. وفقاً لمتطلبات SAMA Cyber Security Framework وتحديداً ضوابط 3.3.5 (Vulnerability Management) و3.3.7 (Patch Management)، يجب على البنوك تطبيق التصحيحات الحرجة خلال نوافذ زمنية قصيرة عند توفر استغلال علني أو CVSS مرتفع.
كما أن الهيئة الوطنية للأمن السيبراني (NCA) في إطار ECC-1 ضمن الضابط 2-10 تشترط إدارة الثغرات وتقييمها وفق سياسة موثقة. أي تأخر في معالجة CVE-2026-23918 قد يصنّف ملاحظة عدم امتثال خلال تدقيق SAMA السنوي، ويُفسَّر كإخفاق في الضوابط التشغيلية في حال وقوع حادث استغلال.
التوصيات والخطوات العملية لفِرق SOC وCISO
- جرد فوري لكل خوادم Apache في البيئة باستخدام أدوات مثل Tenable Nessus أو Qualys VMDR، مع التركيز على إصدار 2.4.66 وتفعيل وحدة
mod_http2. - الترقية إلى Apache HTTP Server 2.4.67 خلال نافذة لا تتجاوز 72 ساعة لخوادم الإنتاج المواجهة للإنترنت، و7 أيام للخوادم الداخلية.
- كإجراء تخفيف مؤقت، تعطيل
mod_http2أو إجبار العميل على HTTP/1.1 عبر سياسات Web Application Firewall. - كتابة قواعد كشف على WAF و IDS لرصد تسلسل
HEADERSمتبوعاً بـRST_STREAMبقيمة خطأ غير صفرية على نفس معرف التدفق. - تشغيل سكريبتات هانتنغ على سجلات Apache وأنظمة EDR للبحث عن انهيارات worker متكررة قد تشير إلى محاولات استغلال جارية.
- إبلاغ مركز SAMA SOC المركزي وفق سياسة الإبلاغ الإلزامي عند تحديد أي مؤشر اختراق، مع تحديث سجل المخاطر وتزويد قسم الامتثال بمذكرة موثقة.
- إعادة اختبار الاختراق على البوابات الإلكترونية بعد الترقية للتأكد من إغلاق المتجه وعدم تأثر مسارات HTTP/2 الشرعية.
الخلاصة
ثغرة CVE-2026-23918 تذكير بأن البنية التحتية المفتوحة المصدر التي تشغل أغلب البنوك السعودية تحتاج رقابة مستمرة وإدارة ثغرات منضبطة. خادم Apache بسيط في الإعداد، لكنه واجهة مهاجَمة عالية القيمة، وأي تأخر في الترقية يفتح ثغرة تنظيمية وتشغيلية في آن واحد. على CISO في القطاع المالي تحريك هذا البند فوراً ضمن مجلس تغيير الطوارئ.
هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.