ثغرة Squidbleed تُهدد بروكسي Squid: 29 عاماً من تسريب بيانات HTTP

مقدمة تحليلية

يُعد الكشف عن ثغرة 'Squidbleed' (CVE-2026-47729) في خادم الويب Squid Proxy حدثاً بالغ الأهمية في عالم الأمن السيبراني، ليس فقط لخطورتها، بل لعمرها المديد الذي يبلغ 29 عاماً. هذه الثغرة، التي تم اكتشافها مؤخراً من قبل باحثين في Calif.io، تستغل خطأً في معالجة الذاكرة (heap over-read) لتسريب طلبات HTTP الواضحة، بما في ذلك بيانات الاعتماد ورموز الجلسة، من المستخدمين الموثوق بهم الذين يمررون حركة المرور عبر نفس الخادم الوكيل. يُشير اسم 'Squidbleed' بوضوح إلى التشابه في الآلية مع ثغرة Heartbleed الشهيرة، حيث تتسرب الذاكرة بنفس الطريقة، مما يجعلها تهديداً خفياً لكنه فعال. تكمن خطورة هذه الثغرة في انتشار استخدام Squid Proxy في البيئات الشبكية المشتركة مثل المدارس والمكاتب وشبكات Wi-Fi العامة. في هذه الإعدادات، يكون المهاجم مجرد مستخدم آخر للبروكسي نفسه، مما يمنحه فرصة استغلال الثغرة لسرقة معلومات حساسة من المستخدمين الآخرين. على الرغم من أن SUSE قد صنفتها بخطورة 'متوسطة' بقيمة CVSS 6.5، نظراً لكون المهاجم يحتاج إلى امتيازات منخفضة وتأثير الثغرة يقتصر على السرية دون المساس بالنزاهة أو التوفر، فإن إمكانية الوصول إلى بيانات الاعتماد تجعلها تهديداً حقيقياً لا يمكن الاستهانة به. اللافت أيضاً هو دور نماذج الذكاء الاصطناعي، مثل Claude Mythos Preview، في اكتشاف هذا النوع من الأخطاء العميقة، مما يُشير إلى تحول محتمل في منهجيات اكتشاف الثغرات.

التحليل التقني

تتمركز الثغرة في محلل قوائم دليل FTP الخاص بـ Squid، وتحديداً في تغيير برمجي يعود إلى عام 1997 كان يهدف إلى معالجة الخوادم القديمة التي تُضيف مسافات إضافية في قوائمها. يستغل الكود حلقة `while (strchr(w_space, *copyFrom)) ++copyFrom;` لتجاوز المسافات البيضاء. في حال أرسل خادم FTP الذي يتحكم فيه المهاجم سطراً من القائمة ينتهي مباشرة بعد الطابع الزمني دون اسم ملف، فإن `copyFrom` يصل إلى null terminator الخاص بالسلسلة. لكن دالة `strchr` تتعامل مع هذا الـ NUL كجزء من السلسلة التي تبحث فيها، مما يجعل الحلقة لا تتوقف وتتجاوز نهاية المخزن المؤقت. تقوم دالة `xstrdup` بعد ذلك بنسخ أي بيانات تلي ذلك خارج حدود المخزن المؤقت، وإعادتها إلى المهاجم كما لو كانت اسم ملف. تكمن القيمة الحقيقية للبيانات المُسربة في حقيقة أن Squid يُعيد استخدام المخازن المؤقتة للذاكرة المحررة دون تصفيرها. فمثلاً، مخزن مؤقت بحجم 4 كيلوبايت كان يحمل مؤخراً طلب HTTP للضحية، لا يزال يحتفظ بمعظم محتوياته. سطر FTP قصير يقوم بالكتابة فوق البايتات القليلة الأولى فقط، بينما تُعيد عملية القراءة الزائدة بقية المحتويات إلى المهاجم. وقد نجح فريق Calif.io في إثبات المفهوم (PoC) بسحب رأس Authorization من ضحية تشارك نفس البروكسي، مما يكفي للانتحال. يتطلب الهجوم من المهاجم أن يكون عميلاً موثوقاً به على نفس الشبكة وأن يتمكن البروكسي من الوصول إلى خادم FTP يتحكم فيه المهاجم على المنفذ 21، وكلاهما يكونان مفعلين بشكل افتراضي. تجدر الإشارة إلى أن الثغرة لا تُسرب بيانات HTTPS التي تمر عبر أنفاق CONNECT مشفرة، بل تقتصر على حركة مرور HTTP الواضحة أو إعدادات إنهاء TLS حيث يقوم Squid بفك التشفير والفحص.

السياق وتأثير السوق

يكشف عمر ثغرة 'Squidbleed' الذي يناهز ثلاثة عقود عن تحدٍ عميق يواجه البنية التحتية البرمجية القديمة: كيف يمكن لأخطاء خفية أن تظل كامنة لعقود في الأكواد الأساسية والمستخدمة على نطاق واسع. يعود أصل الثغرة إلى تعديل عام 1997، ما يُظهر أن الثغرات الأمنية لا تقتصر على الكود الحديث بل يمكن أن تكون متجذرة في التاريخ الطويل للبرمجيات. إن التسمية 'Squidbleed' نفسها تستحضر ذكرى Heartbleed، وهي إشارة قوية إلى خطورة تسرب الذاكرة، مما يعكس وعياً مجتمعياً بالمخاطر المماثلة. على صعيد تأثير السوق، يُعد الكشف عن هذه الثغرة تذكيراً صارخاً للمؤسسات التي تعتمد على Squid Proxy في شبكاتها المشتركة بأهمية التدقيق الأمني المستمر وتحديث الأنظمة. في بيئات مثل المكاتب والجامعات، حيث تُستخدم خوادم البروكسي لتصفية المحتوى والتحكم في الوصول، فإن تسريب بيانات الاعتماد يمكن أن يؤدي إلى اختراقات أمنية واسعة النطاق. الأهم من ذلك، يُبرز هذا الاكتشاف الدور المتزايد للذكاء الاصطناعي في الأمن السيبراني. فقد ساهم نموذج Claude Mythos Preview من Anthropic في الكشف عن هذه الثغرة، مما يُعزز الاتجاه الذي نشهده حيث تكتشف العوامل الذكية أخطاء تحليلية معقدة في أكواد برمجية قديمة مثل FFmpeg. هذا يُشير إلى أن أدوات الذكاء الاصطناعي بدأت تُحدث ثورة في كيفية اكتشاف الثغرات، مما قد يُغير منهجيات التدقيق الأمني بشكل جذري في المستقبل القريب.

رؤية Glitch4Techs

من وجهة نظر Glitch4Techs، تُعد ثغرة 'Squidbleed' حالة دراسية فريدة تُسلط الضوء على تحديات الأمن السيبراني المستمرة، خاصة فيما يتعلق بالبنية التحتية البرمجية القديمة. على الرغم من أن الثغرة تتطلب وصول المهاجم كـ 'عميل موثوق به' وتُسرب فقط حركة مرور HTTP الواضحة، إلا أن القدرة على الحصول على بيانات الاعتماد ورموز الجلسة تُشكل خطراً كبيراً على خصوصية وأمن المستخدمين في البيئات المشتركة. تُشير هذه النقطة إلى أن 'الامتيازات المنخفضة' لا تعني بالضرورة 'تأثيراً منخفضاً' عندما يتعلق الأمر بالمعلومات الحساسة. تُثير الثغرة مخاوف جدية حول جودة المراجعات البرمجية ودورة حياة الصيانة للأنظمة القديمة. استمرار خطأ برمجي بسيط من عام 1997 حتى يومنا هذا، رغم استخدامه الواسع، يُظهر قصوراً في آليات التدقيق التقليدية. كما أن التناقضات الأولية في تصريحات المطورين حول إصدار الإصلاح (Squid 7.6 مقابل 7.7) تُبرز أهمية التحقق الدقيق من فعالية التحديثات، وعدم الاكتفاء برقم الإصدار. توصي Glitch4Techs بشدة بتعطيل وظيفة FTP في Squid كحل فوري وفعال، حيث أن معظم الشبكات الحديثة لا تعتمد عليها، مما يُزيل سطح الهجوم بالكامل. نتوقع أن تُشكل هذه الحادثة حافزاً إضافياً للمؤسسات لتبني أدوات الذكاء الاصطناعي في استراتيجياتها الأمنية. إن قدرة نماذج مثل Claude Mythos على تحديد الأخطاء البرمجية العميقة التي غابت عن الكشف البشري لعقود، تُشير إلى أننا في بداية عصر جديد من اكتشاف الثغرات. تتوقع Glitch4Techs أن تستمر هذه التقنيات في الكشف عن 'قنابل موقوتة' أخرى كامنة في الأكواد القديمة، وربما تكون أكواد FTP في Squid مجرد غيض من فيض. يجب على المؤسسات أن تُجهز نفسها لهذه التحديات من خلال دمج الذكاء الاصطناعي في عمليات الأمن والمراجعة لديها.