أطلقت مؤسسة برمجيات أباتشي تحديثات أمنية عاجلة لمعالجة ثغرة أباتشي الخطيرة المعروفة برمز CVE-2026-23918، والتي تهدد استقرار الخوادم الرقمية وتفتح الباب أمام هجمات الاختراق.
تُصنف هذه الثغرة بدرجة خطورة عالية تصل إلى 8.8 على مقياس CVSS، حيث تكمن المشكلة في طريقة معالجة بروتوكول HTTP/2، مما قد يؤدي إلى تنفيذ أوامر برمجية عن بعد (RCE) أو التسبب في تعطل كامل للخدمة.
ما هي تفاصيل ثغرة أباتشي CVE-2026-23918؟
تتعلق الثغرة الأمنية بخلل من نوع "Double Free" في وحدة mod_http2 ضمن خادم أباتشي، وتحديداً في مسار تنظيف التدفقات بملف h2_mplx.c. تظهر المشكلة عندما يقوم العميل بإرسال إطارات بيانات محددة بتتابع سريع قبل أن يتمكن النظام من تسجيلها بشكل صحيح.
وفقاً لما تابعه فريق تيكبامين، فإن الخلل يحدث عند تسلسل العمليات التالية:
- إرسال إطار HEADERS عبر بروتوكول HTTP/2.
- إرسال إطار RST_STREAM مباشرة برمز خطأ غير صفري.
- استدعاء وظيفتين برمجيتين بشكل متتالٍ يؤدي إلى تحرير نفس مساحة الذاكرة مرتين.
- محاولة تدمير البيانات في المرة الثانية تصطدم بذاكرة تم تحريرها بالفعل، مما يسبب انهيار النظام.
كيف تؤثر الثغرة على استقرار الخوادم؟
أولاً: هجمات تعطيل الخدمة (DoS)
يعتبر تنفيذ هجوم تعطيل الخدمة باستخدام هذه الثغرة أمراً بسيطاً للغاية ولا يتطلب أي صلاحيات وصول أو مصادقة. يمكن للمهاجم عبر اتصال TCP واحد فقط إرسال إطارين من البيانات لإسقاط خادم العمل، وبالرغم من أن أباتشي يعيد تشغيل نفسه تلقائياً، إلا أن استمرار الهجوم يؤدي إلى إسقاط جميع الطلبات الواردة للموقع.
ثانياً: خطر تنفيذ الأوامر عن بعد (RCE)
يمتد الخطر إلى إمكانية السيطرة الكاملة على الخادم، خاصة في الأنظمة التي تستخدم مخصص الذاكرة mmap. وقد أكد الخبراء إمكانية بناء نموذج اختراق فعال يستهدف بنية x86_64، حيث يتم استغلال ذاكرة "Scoreboard" في أباتشي كحاوية مستقرة لتنفيذ الأوامر البرمجية الخبيثة.
ما هي الأنظمة الأكثر عرضة لخطر الاختراق؟
أشار تقرير تيكبامين إلى أن بعض التوزيعات والبيئات البرمجية أكثر عرضة لاستغلال مسار تنفيذ الأوامر عن بعد (RCE) مقارنة بغيرها، وتشمل:
- الأنظمة المبنية على توزيعة دبيان (Debian).
- صور دوكر (Docker) الرسمية الخاصة بخادم أباتشي (httpd).
- الخوادم التي تعتمد على مكتبة APR مع مخصص mmap بشكل افتراضي.
كيفية تأمين خادم أباتشي وتجنب الهجمات؟
تؤثر هذه الثغرة بشكل مباشر على الإصدار 2.4.66 من خادم أباتشي، وللحماية من هذه المخاطر السيبرانية، يجب على مديري الأنظمة اتباع الخطوات التالية:
- التحديث الفوري إلى إصدار أباتشي 2.4.67 أو الأحدث.
- مراجعة إعدادات وحدة mod_http2 والتأكد من تطبيق الرقع الأمنية.
- مراقبة سجلات الاتصال بحثاً عن أي أنماط غير طبيعية لإطارات RST_STREAM.
في الختام، تبرز ثغرة أباتشي الأخيرة أهمية التحديث المستمر للبنية التحتية الرقمية، حيث أن التأخر في سد هذه الفجوات قد يكلف الشركات فقدان البيانات أو توقف الخدمات الحيوية بشكل مفاجئ.
