الوكيل على الحافة: ثغرات Apache Traffic Server تكشف البنية التحتية للويب لهجمات مدمّرة

إنه صباح هادئ في مدينة تعجّ بالحركة، لكن في مكان ما داخل العالم الرقمي السفلي، يكفي طلب HTTP واحد لإسقاط جزء حرج من البنية التحتية للويب. ليست هذه لقطة من فيلم إثارة سيبراني - بل هي الواقع الذي يواجه آلاف المؤسسات بعد أن كشف باحثون عن عيوب خطيرة في Apache Traffic Server (ATS)، العمود الفقري للعديد من المواقع ذات الحركة العالية حول العالم.

حقائق سريعة

• ثغرتان حرجتان تم اكتشافهما في Apache Traffic Server (ATS) تهددان خدمات الويب لدى المؤسسات.
• تتيح CVE-2025-58136 للمهاجمين إسقاط الخوادم عن بُعد عبر طلب POST بسيط - دون الحاجة إلى مصادقة.
• تمكّن CVE-2025-65114 من تهريب طلبات HTTP المتقدم، متجاوزةً ضوابط الأمان ومهددةً بتسريب البيانات.
• جميع إصدارات ATS 9.x (حتى 9.2.12) و10.x (حتى 10.1.1) متأثرة؛ ويُنصح بالترقية العاجلة.
• ثغرة حجب الخدمة وحدها لديها حل مؤقت؛ أما تهريب الطلبات فيتطلب تحديثًا كاملًا للبرنامج.

نظرة معمّقة: كيف يمكن لطلب بسيط أن يشلّ الإنترنت

يشتهر Apache Traffic Server بسرعته وموثوقيته، إذ يعمل كوكيل ويب وذاكرة تخزين مؤقت لبعض أكثر الشبكات ازدحامًا في العالم. لكن الاكتشافات الأخيرة التي توصل إليها باحثا الأمن Masakazu Kitajo وKatsutoshi Ikenoya كشفت مدى هشاشة تلك السمعة: ثغرتان، لكل منهما القدرة على قلب العمليات الرقمية رأسًا على عقب على نطاق هائل.

الثغرة الأولى، CVE-2025-58136، مقلقة بشكل خاص لبساطتها. فاستغلالها لا يتطلب أكثر من طلب POST شرعي - لا سحر اختراق، ولا بيانات اعتماد مسروقة. وهذا يتيح لجهات التهديد إسقاط الخوادم المستهدفة فورًا، متسببةً في حجب خدمة واسع النطاق (DoS) يمكنه تعطيل تطبيقات الأعمال وإرباك الخدمات الحرجة. وبالنظر إلى شعبية ATS في بيئات المؤسسات، فإن سطح الهجوم واسع للغاية.

أما الأكثر خبثًا فهو CVE-2025-65114، وهي ثغرة تهريب طلبات نابعة من طريقة تعامل ATS مع رسائل HTTP المجزأة (chunked) المشوّهة. تهريب الطلبات تقنية هجوم خفية يتلاعب فيها المجرمون السيبرانيون بحدود طلبات الويب، ما يربك الخوادم وقد يسمح بتمرير محتوى خبيث متجاوزًا دفاعات الأمان. وهذا يفتح الباب لاعتراض البيانات، وتسميم الذاكرة المؤقتة، وتجاوز آليات المصادقة - سيناريو أحلام لأي مهاجم.

استجابت مؤسسة Apache Software Foundation بسرعة، فأصدرت تصحيحات لكل من فرعي 9.x و10.x - وتحديدًا الإصدارين 9.1.13 و10.1.2 على التوالي. وبالنسبة للمؤسسات غير القادرة على التصحيح فورًا، يوجد إصلاح مؤقت لثغرة حجب الخدمة: اضبط معامل الإعداد proxy.config.http.request_buffer_enabled على 0 (وهو الإعداد الافتراضي في معظم التهيئات). لكن مشكلة تهريب الطلبات لا تمنح مثل هذه المهلة. وحده تحديث كامل للبرنامج يمكنه ضمان الحماية.

الدرس واضح: في عالم مترابط من بنى الويب عالية الأداء، يمكن لخطأ واحد مُهمل أن يخلّف عواقب عالمية. على المسؤولين التحرك بسرعة - لأنه في هذه اللعبة عالية المخاطر، قد يعني طلب بسيط انقطاعًا تامًا للخدمة.

الخلاصة

هذه الثغرات في Apache Traffic Server تذكير صارخ بأن حتى أكثر أسس الويب متانة قد تخفي أخطارًا كامنة. ومع ازدياد تعقيد العالم الرقمي، تبقى اليقظة والاستجابة السريعة أفضل دفاعاتنا أمام مشهد تهديدات دائم التطور. في الوقت الراهن، الرسالة بسيطة: صحّح، واحمِ، واستعد - لأن الهجوم التالي قد لا يبعد سوى طلب واحد.

WIKICROOK

• الحجب: الحجب في الأمن السيبراني يعني جعل الأنظمة أو الخدمات غير متاحة للمستخدمين، غالبًا عبر هجمات مثل حجب الخدمة (DoS) التي تُغرقها بحركة مرور كثيفة.
• تهريب طلبات HTTP: تهريب طلبات HTTP هو هجوم ويب يمرّر فيه المهاجمون طلبات مخفية عبر الخوادم باستغلال كيفية تفسيرها لحدود طلبات HTTP.
• خادم وكيل: الخادم الوكيل وسيط يوجّه حركة مرور الشبكة، ويساعد على إخفاء هويات المستخدمين، وتجاوز القيود، وإدارة الوصول إلى الإنترنت.
• طلب POST: طلب POST هو أسلوب HTTP لإرسال البيانات إلى خادم، يُستخدم عادةً في إرسال النماذج ويُستهدف في هجمات سيبرانية مختلفة.
• تصحيح: التصحيح هو تحديث برمجي يُصدر لإصلاح ثغرات أمنية أو أخطاء في البرامج، ما يساعد على حماية الأجهزة من التهديدات السيبرانية وتحسين الاستقرار.