ثغرة "قنبلة HTTP/2" تهدد خوادم الويب الكبرى بحرمان الخدمة عن بُعد » مركز الأمن السيبراني للأبحاث والدراسات CCRS

اعتقال مشغّل شبكة "Kimwثغرة "قنبلة HTTP/2" تهدد خوادم الويب الكبرى بحرمان الخدمة عن بُعدolf" في كندا بسبب هجمات DDoS مدفوعة — ثغرة "قنبلة HTTP/2" تهدد خوادم الويب الكبرى بحرمان الخدمة عن بُعد

أعلن باحثون في الأمن السيبراني عن اكتشاف ثغرة جديدة أطلق عليها اسم HTTP/2 Bomb، قادرة على تنفيذ هجمات حرمان الخدمة عن بُعد (DoS) ضد أشهر خوادم الويب مثل NGINX وApache HTTPD وMicrosoft IIS وEnvoy وCloudflare Pingora.
الثغرة تستغل الإعدادات الافتراضية لبروتوكول HTTP/2، حيث تجمع بين تقنيتين معروفتين: قنبلة الضغط (Compression Bomb) وهجوم Slowloris. الفكرة تقوم على استغلال آلية ضغط الرؤوس HPACK، إذ يمكن لبايت واحد على السلك أن يتحول إلى آلاف الإدخالات في ذاكرة الخادم، بينما يمنع “النافذة صفرية البايت” تحرير هذه الذاكرة، ما يؤدي إلى استنزاف الموارد بسرعة.

خلفية تقنية: HPACK وSlowloris

آلية HPACK هي خوارزمية ضغط مخصصة لبروتوكول HTTP/2، تقلل حجم الرؤوس بنسبة تصل إلى 30% باستخدام ترميز هوفمان، وصُممت لتكون مقاومة لهجمات مثل CRIME التي تستهدف تسريب ملفات تعريف الارتباط.
أما Slowloris فهو هجوم على طبقة التطبيقات يفتح اتصالات HTTP متعددة ويبقيها نشطة لفترات طويلة، ما يؤدي إلى إنهاك الخادم. الجديد في “قنبلة HTTP/2” أنها لا تعتمد على إدخال قيم ضخمة في جدول الضغط كما في ثغرات سابقة مثل CVE-2016-6581، بل على إدخالات شبه فارغة تتسبب في استهلاك الذاكرة عبر عمليات التسجيل الداخلية لكل إدخال.

خطورة الهجوم وتأثيره العملي

وفقًا للتقديرات، يمكن لجهاز منزلي بسرعة اتصال 100 ميجابت/ثانية أن يجعل خادمًا ضعيفًا غير متاح خلال ثوانٍ معدودة. في حالة خوادم Apache HTTPD وEnvoy، يستطيع عميل واحد استهلاك ما يصل إلى 32 جيجابايت من ذاكرة الخادم خلال 20 ثانية فقط. هذا يبرز خطورة الثغرة التي تعتمد على إبقاء الاتصال مفتوحًا، مما يمنع تحرير الذاكرة المستهلكة ويضاعف أثر الهجوم.

الحلول والتوصيات الأمنية

أوصى الباحثون بعدة إجراءات للتخفيف من المخاطر:

NGINX: التحديث إلى الإصدار 1.29.8+ الذي يضيف توجيهًا جديدًا باسم max_headers مع قيمة افتراضية 1000. وفي حال تعذر التحديث، يُنصح بتعطيل HTTP/2 .
Apache HTTPD: تم إصلاح الثغرة في وحدة mod_http2 v2.0.41، أما إذا لم يكن التحديث ممكنًا فيُفضل تقييد البروتوكولات إلى http/1.1.
Microsoft IIS وEnvoy وCloudflare Pingora: لم تتوفر ترقيعات حتى وقت الإعلان، ما يجعل هذه الخوادم عرضة للهجوم.

الباحثون أشاروا إلى أن المشكلة الأعمق تكمن في أن مواصفات البروتوكول ركزت على نسبة التضخيم فقط، بينما تجاهلت مسألة إبقاء الذاكرة محجوزة طوال مدة الاتصال، وهو ما يحول التضخيم إلى هجوم فعلي.

وسوم