ثغرة HTTP/2 Bomb تهدد أشهر خوادم الويب بشلل كامل عن بُعد

مقدمة تحليلية

في تطور أمني يعكس البداية الفعلية لعصر التهديدات السيبرانية المصممة هجومياً بواسطة الذكاء الاصطناعي، كشف الباحثون في شركة Calif عن ثغرة أمنية بالغة الخطورة تهدد البنية التحتية الأساسية لشبكة الإنترنت العالمية. الثغرة التي تم ترميزها وتسميتها باسم HTTP/2 Bomb تسمح للمهاجمين بشن هجمات حجب الخدمة الكاملة (Denial of Service - DoS) عن بُعد على أشهر خوادم الويب العالمية، بما في ذلك خوادم NGINX، وApache HTTPD، وMicrosoft IIS، وخادم Envoy، بالإضافة إلى خادم Pingora المطور من قبل شركة Cloudflare. اللافت للانتباه في هذه الثغرة ليس فقط نطاق تأثيرها الواسع، بل آلية اكتشافها؛ حيث تمكن نموذج الذكاء الاصطناعي للتطوير البرمجي OpenAI Codex من تحديدها وصياغتها عبر دمج وتوجيه أسلوبين هجوميين معروفين سابقاً: هجوم قنبلة الضغط (Compression Bomb) وهجوم الاحتجاز البطيء المستوحى من تقنيات Slowloris. النتيجة هي أسلوب هجومي هجين وصامت، يستغل التكوين الافتراضي لبروتوكول HTTP/2 في هذه الخوادم لتجفيف موارد الذاكرة بشكل كامل وفي ثوانٍ معدودة. توضح البيانات الأمنية الصادرة أن جهاز كمبيوتر منزلي عادي متصل بشبكة إنترنت متواضعة بسرعة 100 ميجابت في الثانية (100Mbps) قادر تماماً على شل حركة وإسقاط خادم ويب ضخم ومتاح للعموم في غضون ثوانٍ قليلة. في البيئات التجريبية، تمكن عميل مهاجم واحد فقط من استهلاك واحتجاز ما يصل إلى 32 جيجابايت (32GB) من ذاكرة الوصول العشوائي (RAM) الخاصة بخوادم Apache HTTPD وEnvoy خلال فترة زمنية لم تتجاوز 20 ثانية، مما يعني الانهيار التام للخادم وتوقف جميع الخدمات المرتبطة به.

التحليل التقني

تستهدف ثغرة HTTP/2 Bomb بروتوكول HPACK، وهو خوارزمية ضغط الترويسات المخصصة لبروتوكول HTTP/2. تم تصميم HPACK لتقليص حجم الترويسات الواردة في الطلبات بنسبة تبلغ حوالي 30% عبر توظيف ترميز هافمان (Huffman encoding)، بالإضافة إلى كونه مصمماً لمنع الهجمات التاريخية مثل هجوم CRIME الذي يستهدف تسريب رموز وعناصر الهوية الأمنية المخزنة في الترويسات المضغوطة. الآلية التقليدية لهجمات قنابل الضغط مثل هجوم HPACK Bomb الأصلي (CVE-2016-6581) كانت تعتمد على حشو كميات هائلة من البيانات داخل جداول الترويسات ثم استدعائها بشكل متكرر بهدف استهلاك الذاكرة. لمواجهة ذلك، قامت الخوادم الحديثة بفرض قيود صارمة على الحد الأقصى لحجم الترويسات المفكوكة (Decoded header size). لكن أسلوب HTTP/2 Bomb الجديد يلتف على هذه القيود بذكاء؛ حيث يرسل المهاجم ترويسة شبه فارغة تقريباً، مما يمنع آليات الدفاع والقيود المفروضة من إطلاق أي إنذار لعدم وجود بيانات ضخمة لفك ضغطها. يأتي التضخيم الفعلي في هذا الهجوم من عمليات مسك الدفاتر والسجلات الداخلية (Per-entry bookkeeping) التي تخصصها بنية الخادم حول كل مدخل، حتى لو كان فارغاً. وبذلك، فإن بايت واحد فقط مرسل عبر الشبكة يتحول على مستوى الخادم إلى عملية تخصيص كاملة لمساحة الترويسة في الذاكرة، ويتم تكرار هذه العملية آلاف المرات لكل طلب واحد. لإكمال الهجوم، يقوم المهاجم بدمج هذه القنبلة بآلية "الاحتجاز البطيء" (Slowloris-style hold) عبر إرسال نافذة تحكم في التدفق بحجم صفر بايت (Zero-byte flow-control window). هذا الإجراء يمنع الخادم من إرسال البيانات أو إنهاء المعالجة، وبالتالي يمنعه تماماً من تحرير الذاكرة المخصصة، مما يؤدي إلى تثبيت الذاكرة المستهلكة طالما بقي الاتصال مفتوحاً. تتضمن العناصر التقنية المرتبطة بهذه الثغرة والبروتوكول ما يلي:

• بروتوكول HPACK (RFC 7541): المعيار الرسمي لضغط الترويسات في HTTP/2 والذي يعاني من قصور تصميمي في إدارة جداول الذاكرة.
• ثغرة CVE-2025-53020: ثغرة سابقة لاستنفاد الذاكرة في خوادم Apache httpd تم استلهام أجزاء من الهجوم الجديد منها.
• ثغرة CVE-2016-8740: تتعلق بمعالجة إطارات CONTINUATION المصممة بشكل خبيث في خوادم Apache.
• ثغرة CVE-2016-1546: ثغرة استنزاف خيوط المعالجة (Worker-thread starvation) في اتصالات HTTP/2.

السياق وتأثير السوق

يمثل هذا الاكتشاف نقطة تحول مقلقة في كيفية العثور على الثغرات الأمنية واستغلالها. نجاح نموذج ذكاء اصطناعي مثل OpenAI Codex في دمج هجومين كلاسيكيين لابتكار تقنية هجومية هجينة يعني أن حواجز الدخول إلى عالم تطوير البرمجيات الخبيثة المتقدمة قد انهارت بالكامل. لم يعد المهاجمون بحاجة إلى مهارات برمجية فائقة أو ميزانيات ضخمة لشن هجمات DDoS معقدة؛ بل بات بإمكانهم توليد هجمات قادرة على تجاوز الدفاعات التقليدية بضغطة زر. على مستوى السوق، فإن تأثير هذه الثغرة هائل وغير مسبوق نظراً لانتشار الخوادم المستهدفة؛ حيث تشغل خوادم NGINX وApache مجتمعة أكثر من نصف مواقع الويب النشطة عالمياً. أما خادم Envoy فيعتبر الركيزة الأساسية للشركات السحابية الكبرى والمنشآت التي تعتمد على البنى التحتية القائمة على الحاويات (Kubernetes) لإدارة وتوجيه حركة المرور الداخلية. بقاء هذه الأنظمة مكشوفة يعني إمكانية تعطيل الخدمات المصرفية، ومنصات التجارة الإلكترونية، ومواقع الخدمات الحكومية، مما قد يتسبب في خسائر اقتصادية مباشرة تقدر بمليارات الدولارات نتيجة لتوقف الأعمال وتراجع مستويات الموثوقية الرقمية.

رؤية Glitch4Techs

في Glitch4Techs، نرى أن المشكلة الحقيقية لثغرة HTTP/2 Bomb لا تكمن في الخوادم نفسها، بل في الفلسفة التصميمية لمواصفات بروتوكول HTTP/2 القياسية. لقد قامت الهيئات التنظيمية بصياغة معايير الذاكرة بناءً على نسبة التضخيم فقط (Amplification ratio)، بينما النسبة ليست سوى جزء بسيط من المشكلة. الخطر الحقيقي يكمن في إتاحة البروتوكول للعميل الحفاظ على الاتصال مفتوحاً دون تكلفة تذكر، مع إجبار الخادم على الاحتفاظ بالموارد المخصصة طوال تلك الفترة. لمواجهة هذه الثغرة بفعالية، نوصي باتخاذ الإجراءات الدفاعية التالية فوراً:

• ترقية خوادم NGINX: يجب الانتقال فوراً إلى الإصدار 1.29.8 أو ما يليه، والذي يعالج المشكلة بإضافة توجيه max_headers بحد أقصى افتراضي يبلغ 1000 ترويسة. إذا تعذرت الترقية السريعة، قم بإيقاف تشغيل بروتوكول HTTP/2 عبر تكوين http2 off;.
• تحديث خوادم Apache HTTPD: يجب الترقية الفورية إلى حزمة mod_http2 الإصدار v2.0.41. وفي حال تعذر الترقية، يُنصح بإلغاء تفعيل HTTP/2 والعودة إلى الإصدار السابق عبر ضبط الخيار Protocols http/1.1.
• إجراءات حماية بديلة لـ IIS و Envoy و Pingora: نظراً لعدم توفر رقع برمجية رسمية لهذه الأنظمة حتى الآن، يجب تفعيل جدران حماية تطبيقات الويب (WAF) وتكوين قواعد صارمة لـ Rate Limiting وتحديد مهلة قصيرة لإغلاق الاتصالات غير النشطة (Idle Connection Timeout) لمنع احتجاز الذاكرة.

إن تبني استراتيجيات دفاعية استباقية وتحديث الأنظمة بشكل دوري لم يعد مجرد خيار ترفيهي، بل هو صمام الأمان الوحيد في عصر أصبحت فيه البرمجيات الخبيثة تُصمم بكفاءة الذكاء الاصطناعي الفائقة وسرعته الرهيبة.