ثغرة HTTP/2 Bomb تعطل NGINX وApache وIIS في ثوانٍ — كود الإثبات موجود على GitHub بالفعل

ثغرة أمنية مكشوفة حديثًا في تطبيقات خادم HTTP/2 — تسمى "قنبلة HTTP/2" ومُتتبعة تحت CVE-2026-49975 — تسمح للمهاجم بتعطيل NGINX وApache HTTP Server وMicrosoft IIS وEnvoy وCloudflare Pingora في ثوانٍ باستخدام نظام واحد مزود باتصال إنترنت قياسي بسرعة 100 ميجابت/ثانية. شركة الأمن Calif، التي اكتشفت الخلل باستخدام OpenAI Codex، نشرت التفاصيل في 2 يونيو 2026. ظهرت نصوص بايثون عامة كدليل إثبات (proof-of-concept) على GitHub في نفس اليوم.

أهمية الثغرة كبيرة لأن HTTP/2 هو البروتوكول الافتراضي لخوادم الويب الحديثة — وليس ميزة اختيارية يقوم المسؤولون بتعطيلها عادةً. أي خادم يقبل اتصالات HTTPS عبر HTTP/2 مع التكوين الافتراضي معرض للخطر.

كيفية عمل الهجوم

قنبلة HTTP/2 تدمج تقنيتين موجودتين كل على حدة في الأدبيات البحثية ولكن لم يتم دمجهما سابقًا في استغلال مسلح. الأولى هي شكل من قنبلة ضغط HPACK — طريقة لإرسال رؤوس (headers) يتم فك ضغطها إلى أحجام هائلة، مما يستهلك ذاكرة غير متناسبة على الخادم المستقبل. الثانية هي إبطاء من نوع Slowloris: تعمد إبطاء الاتصال بحيث لا يمكن تحرير الذاكرة المفكوك ضغطها على الخادم.

معًا، تستغل هاتان التقنيتان سلوكًا معينًا في كيفية تخصيص وتحرير ذاكرة تطبيقات خادم HTTP/2 أثناء معالجة الرأس. بإرسال رؤوس مضغوطة ومُعدلة ثم إبقاء الاتصال مفتوحًا دون إكمال الطلب، يتسبب المهاجم في استنفاد سريع وتدريجي للذاكرة على الخادم. على عكس هجمات DDoS الحجمية التي تتطلب نطاقًا تردديًا ضخمًا، يعمل هذا الاستغلال بأقل إنتاجية — أظهر باحثو Calif تعطل الخوادم باستخدام 100 ميجابت/ثانية فقط من جهاز واحد.

ما تم إصلاحه وما لم يتم

اعتبارًا من 6 يونيو، أصدر مشروعان كبيران للخوادم إصلاحات. عالج NGINX الثغرة في الإصدار 1.29.8. قام Apache HTTP Server بإصلاحها في mod_http2 الإصدار 2.0.41، حيث تم تعيين CVE رسميًا كـ CVE-2026-49975. يُذكر أن HAProxy مقاوم بطبيعته لهذا الاستغلال، أو يمكن تكوينه لصدّه.

لم يصدر Microsoft IIS وEnvoy وCloudflare Pingora إصلاحات مؤكدة حتى 2 يونيو، وقت الإفصاح الأولي. يتتبع Envoy مشكلة ذات صلة كـ CVE-2026-47774. يجب على المسؤولين الذين يديرون هذه الخوادم متابعة تنبيهات البائعين عن كثب.

خيارات التخفيف

للمؤسسات التي لا تستطيع تحديث NGINX أو Apache فورًا، توصي Calif بثلاثة خيارات مؤقتة. أولاً، عزل الخوادم المعرضة خلف reverse proxy أو جدار حماية تطبيقات الويب (WAF) أو موازن تحميل الطبقة 7 مع تفعيل حماية HTTP/2 — HAProxy، عند تكوينه بشكل صحيح، يمكنه امتصاص الهجوم. ثانيًا، تعطيل HTTP/2 على مستوى الخادم؛ هذا يعطل الأداء ولكنه يزيل سطح الهجوم. ثالثًا، تطبيق تحديد معدل (rate limiting) على معالجة الرأس عند طبقة الإدخال.

تعطيل HTTP/2 على الخادم بالكامل له تكلفة أداء حقيقية — البروتوكول موجود لأن HTTP/1.1 أبطأ بشكل ملحوظ لمعظم حركة مرور الويب — لذا يجب اعتباره إجراءً مؤقتًا، وليس تخفيفًا دائمًا.

زاوية OpenAI Codex

يذكر إفصاح Calif أن CVE-2026-49975 تم اكتشافه باستخدام OpenAI Codex كأداة تحليل أثناء مراجعة موجهة لتطبيقات خادم HTTP/2. يضيف هذا الاكتشاف إلى نمط متزايد من أبحاث الثغرات بمساعدة الذكاء الاصطناعي: نفس نموذج Claude Opus 4.8 وجد ثغرة الإنفاق المزدوج Zcash Halo2 التي تم إفشاؤها الأسبوع الماضي، والعديد من CVEs الأخيرة في مشاريع مفتوحة المصدر واسعة الانتشار نسبت الفضل لأدوات مراجعة كود الذكاء الاصطناعي في اكتشافها.

هذه ليست ملاحظة سلبية — إنها ديناميكية سباق تسلح. نفس الأدوات المتاحة للباحثين الدفاعيين متاحة للجهات الهجومية. يجب على المؤسسات التي تدير خوادم HTTP/2 اعتبار التوفر العام لكود PoC تصعيدًا كبيرًا لخطر التعرض وإعطاء أولوية للتصحيح وفقًا لذلك.