الوسم: apache

◎مقدمة: ثغرة خطيرة تهدد خوادم Apache في المملكة العربية السعودية

أصدر مشروع Apache Software Foundation تحذيرًا أمنيًا عاجلًا بشأن ثغرة أمنية بالغة الخطورة تحمل المعرف CVE-2026-23918 تؤثر على خادم الويب الأكثر استخدامًا في العالم Apache HTTP Server، وتحديدًا الإصدار 2.4.66. تصنّف هذه الثغرة ضمن فئة Double Free (CWE-415)، وهي فئة من ثغرات إدارة الذاكرة التي قد تؤدي إلى تنفيذ تعليمات برمجية عن بُعد (Remote Code Execution – RCE) في أسوأ السيناريوهات، وحصلت على درجة خطورة 8.8 على مقياس CVSS، ما يجعلها تهديدًا عالي الأولوية يستوجب تحركًا فوريًا من مديري الأنظمة ومزودي الاستضافة في المملكة العربية السعودية ودول الخليج.

مع الاعتماد الواسع على Apache في استضافة مواقع الجهات الحكومية، والمتاجر الإلكترونية، والبنوك، ومنصات التعليم الرقمي في المملكة، تكتسب هذه الثغرة أهمية استثنائية، خاصة في ظل توجيهات هيئة الاتصالات والفضاء والتقنية (CST) والضوابط الأساسية للأمن السيبراني الصادرة عن الهيئة الوطنية للأمن السيبراني (NCA) التي تُلزم الجهات بتطبيق التحديثات الأمنية الحرجة فور صدورها.

◎التفاصيل التقنية للثغرة CVE-2026-23918

تكمن الثغرة في طريقة تعامل خادم Apache HTTP مع بروتوكول HTTP/2، حيث يحدث ما يُعرف بـ Double Free؛ أي تحرير نفس منطقة الذاكرة مرتين. هذا النوع من الأخطاء البرمجية يُعدّ من أخطر فئات ثغرات الذاكرة، لأنه قد يسمح للمهاجم بـ:

• إسقاط الخادم (Denial of Service): عبر إرسال طلبات HTTP/2 مصممة بعناية تؤدي إلى انهيار العملية.
• تنفيذ تعليمات برمجية عن بُعد (RCE): في ظروف معينة، يمكن للمهاجم استغلال فساد الذاكرة للسيطرة على مسار التنفيذ وحقن كود خبيث.
• تسريب معلومات حساسة: من ذاكرة العمليات، قد يشمل ذلك مفاتيح TLS أو بيانات جلسات المستخدمين.

لماذا HTTP/2 بالتحديد؟

بروتوكول HTTP/2 يتعامل مع عدة تدفقات (streams) متوازية عبر اتصال TCP واحد، ويستخدم ضغط الترويسات HPACK، وآليات تدفق معقدة. هذا التعقيد يفتح سطح هجوم أوسع مقارنة بـ HTTP/1.1 التقليدي، وقد شهدنا تاريخيًا عدة ثغرات مشابهة في تطبيقات HTTP/2 عبر مختلف خوادم الويب.

تحليل درجة CVSS 8.8

درجة 8.8 تعني أن الثغرة:

• قابلة للاستغلال عن بُعد عبر الشبكة (Attack Vector: Network).
• ذات تعقيد منخفض في الاستغلال (Attack Complexity: Low).
• لا تتطلب صلاحيات مسبقة (Privileges Required: None).
• تؤثر على السرية والسلامة والتوفر بدرجة عالية.

◎الأنظمة والإصدارات المتأثرة

وفقًا للإعلان الرسمي من Apache، تتأثر الإصدارات التالية:

• Apache HTTP Server 2.4.66 — متأثر مباشرة.
• الإصدارات الأقدم التي تدعم HTTP/2 عبر وحدة mod_http2 قد تحتاج مراجعة وفقًا لإرشادات Apache.

الإصدار المُصحّح: Apache HTTP Server 2.4.67.

البيئات الأكثر عرضة للخطر

• خوادم الويب العامة التي تخدم مواقع HTTPS مع تفعيل HTTP/2.
• بوابات API و Reverse Proxy المبنية على Apache.
• خوادم الاستضافة المشتركة لدى مزودي الاستضافة السعوديين.
• منصات التجارة الإلكترونية المعتمدة على Apache + PHP.
• خوادم التطبيقات خلف موازنات الحِمل (Load Balancers).

◎السياق المحلي: لماذا يجب أن يقلق مديرو الأنظمة في السعودية؟

تعتمد شريحة واسعة من البنية التحتية الرقمية في المملكة على Apache HTTP Server، سواء في مراكز البيانات المحلية في الرياض وجدة والدمام، أو لدى مزودي الاستضافة السحابية المرخصين من هيئة الاتصالات والفضاء والتقنية (CST). في ظل رؤية المملكة 2030 والتحول الرقمي المتسارع، أصبحت حماية هذه البنية أولوية وطنية.

تتضمن المخاطر المحلية:

1. الامتثال التنظيمي: الضوابط الأساسية للأمن السيبراني (ECC-1:2018) الصادرة عن NCA تُلزم الجهات بإدارة الثغرات والترقيع خلال فترات زمنية محددة.
2. حماية البيانات الشخصية: نظام حماية البيانات الشخصية (PDPL) السعودي يفرض عقوبات على التسريبات الناتجة عن إهمال الترقيع.
3. استمرارية الأعمال: خاصة للمتاجر الإلكترونية وبوابات الدفع التي تعتمد على Apache.

◎خطوات فورية موصى بها لمديري الاستضافة السعوديين

1. الترقية الفورية إلى الإصدار 2.4.67

هذه هي الخطوة الأهم والأكثر فاعلية. نفّذ الأوامر التالية وفقًا لتوزيعة لينكس المستخدمة:

على أنظمة RHEL/CentOS/AlmaLinux/Rocky:

sudo dnf update httpd
sudo systemctl restart httpd
httpd -v

على أنظمة Ubuntu/Debian:

sudo apt update
sudo apt install --only-upgrade apache2
sudo systemctl restart apache2
apache2 -v

للإصدارات المُجمّعة يدويًا (compiled from source): قم بتحميل Apache 2.4.67 من الموقع الرسمي httpd.apache.org، تحقق من توقيع GPG، ثم أعد بناء وتثبيت الخادم.

2. التحقق من الإصدار الحالي

httpd -v
◎أو
apache2 -v

تأكد أن الإصدار المعروض هو 2.4.67 أو أحدث.

3. حلول التخفيف المؤقتة (إن تعذّر الترقيع فورًا)

إذا كانت بيئتك الإنتاجية تتطلب نافذة صيانة مجدولة، يمكنك تطبيق إجراءات تخفيف مؤقتة:

• تعطيل وحدة HTTP/2 مؤقتًا:

  # على RHEL:
  sudo sed -i 's/^LoadModule http2_module/#LoadModule http2_module/' /etc/httpd/conf.modules.d/*.conf
  sudo systemctl restart httpd

• إزالة h2 و h2c من توجيهات Protocols في ملف الإعداد.
• وضع Web Application Firewall (WAF) أمام الخادم مثل ModSecurity مع قواعد OWASP CRS المحدّثة.

4. مراجعة السجلات للكشف عن محاولات استغلال

grep -Ei "HTTP/2|h2" /var/log/httpd/error_log | tail -200
grep -i "segfault|child pid.*exit signal" /var/log/httpd/error_log

أي رسائل انهيار متكررة لعمليات Apache قد تكون مؤشرًا على محاولات استغلال.

5. تقوية الإعدادات العامة

• تفعيل ServerTokens Prod و ServerSignature Off لإخفاء الإصدار.
• تحديث mod_ssl وإلغاء بروتوكولات TLS القديمة.
• تقييد LimitRequestBody و Timeout للحد من هجمات الاستنزاف.

6. المراقبة المستمرة

فعّل حلول SIEM أو استخدم أدوات مثل Wazuh و OSSEC لمراقبة سلوك خوادم Apache وإرسال تنبيهات فورية عند اكتشاف نشاط مشبوه.

◎مخاطر الاستغلال المحتملة

في حال نشر كود استغلال علني لهذه الثغرة (PoC)، فإن السيناريوهات المتوقعة تشمل:

• حملات مسح آلي شاملة: جهات التهديد تستخدم أدوات مثل Shodan و Censys لاستهداف الخوادم غير المُصحّحة خلال ساعات من نشر الاستغلال.
• نشر Web Shells وبرامج Cryptominers على الخوادم المخترقة.
• التنقل الأفقي داخل الشبكة للوصول إلى قواعد البيانات والأنظمة الداخلية.
• هجمات Supply Chain على العملاء عبر المواقع المخترقة.

تاريخيًا، شهدنا ثغرات مشابهة في Apache (مثل CVE-2021-41773) استُغلّت على نطاق واسع خلال 48 ساعة فقط من الإعلان عنها.

◎توصيات 4Jawaly لعملائها ومديري الأنظمة

في فورجوالي (4Jawaly)، وبصفتنا شركة سعودية مرخصة من هيئة الاتصالات والفضاء والتقنية (CST) برقم ترخيص 291-10-32، وحاصلة على شهادة ISO 27001 لإدارة أمن المعلومات، نوصي عملاءنا من مديري الاستضافة والجهات الحكومية والقطاع الخاص بالآتي:

1. التحقق الفوري من إصدارات Apache في جميع البيئات (الإنتاج، التطوير، الاختبار).
2. إدراج هذه الثغرة ضمن دورة إدارة الثغرات الشهرية مع تصنيفها كأولوية قصوى.
3. استخدام خدمات الإشعارات عبر SMS و WhatsApp Business API من 4Jawaly لإرسال تنبيهات فورية لفرق الاستجابة للحوادث عند اكتشاف محاولات استغلال.
4. الاستفادة من روبوتات الدردشة الذكية من 4Jawaly لأتمتة التواصل مع فرق DevOps عند حدوث أعطال.
5. إجراء اختبار اختراق دوري بعد الترقيع للتأكد من عدم وجود ثغرات تكوين متبقية.

◎خاتمة

تمثل ثغرة CVE-2026-23918 تذكيرًا مهمًا بأن حتى أكثر البرمجيات نضجًا واستخدامًا مثل Apache HTTP Server ليست بمنأى عن الثغرات الأمنية الحرجة. الترقية إلى الإصدار 2.4.67 ليست خيارًا بل ضرورة فورية لكل مدير نظام أو مزود استضافة في المملكة العربية السعودية. التأخير في الترقيع قد يعرّض جهتك لمخاطر قانونية وتشغيلية ومالية جسيمة، خاصة في ظل الإطار التنظيمي الصارم الذي تعمل فيه هيئة الاتصالات والفضاء والتقنية والهيئة الوطنية للأمن السيبراني.

الأمن السيبراني ليس مشروعًا ذا نقطة نهاية، بل عملية مستمرة من اليقظة والتحديث والمراقبة. ابقَ في الطليعة، ورقّع خوادمك اليوم قبل الغد.