สรุปสั้น

นักวิจัยด้านความปลอดภัยเปิดเผยช่องโหว่ร้ายแรง CVE-2026-23918 (CVSS 8.8) ใน Apache HTTP Server เวอร์ชัน 2.4.66 โดยเป็นปัญหา double free ในโมดูล mod_http2 ที่จัดการโปรโตคอล HTTP/2 ช่องโหว่อยู่ในส่วน stream cleanup path ของไฟล์ h2_mplx.c ซึ่งทำให้ stream เดียวกันถูก cleanup สองครั้ง นำไปสู่ memory corruption ผู้โจมตีสามารถส่ง HTTP/2 request ที่สร้างขึ้นเป็นพิเศษเพื่อ crash worker process ได้อย่างง่ายดาย และในเงื่อนไขที่เหมาะสมสามารถรันโค้ดอันตรายจากระยะไกลได้ ช่องโหว่นี้มีผลกระทบสูงเพราะ mod_http2 มาพร้อมกับ default build ของ Apache และ HTTP/2 ถูกเปิดใช้งานอย่างแพร่หลายในเซิร์ฟเวอร์ production ทั่วโลก

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 14 พฤษภาคม พ.ศ. 2569 ว่า ช่องโหว่ CVE-2026-23918 ถูกค้นพบโดย Bartlomiej Dmitruk ผู้ร่วมก่อตั้ง Striga.ai และ Stanislaw Strzalkowski นักวิจัยจาก ISEC.pl ปัญหาเกิดจาก double free ใน mod_http2 โดยเฉพาะในส่วน stream cleanup path ของ h2_mplx.c เมื่อ HTTP/2 request sequence ที่สร้างขึ้นเป็นพิเศษถูกส่งมา จะทำให้ stream เดียวกันถูก cleanup สองครั้ง เป็นผลให้เกิด memory corruption ที่สามารถนำไปสู่การ crash worker process ได้ง่าย สำหรับการรันโค้ดจากระยะไกลนั้น scoreboard ของ Apache อยู่ที่ตำแหน่ง fixed address ตลอดอายุการทำงานของเซิร์ฟเวอร์แม้เปิด ASLR อยู่ ซึ่งเป็นจุดที่ทำให้ RCE เป็นไปได้ในทางปฏิบัติ อย่างไรก็ตาม การ exploit สำเร็จต้องมี info leak สำหรับ system() และ scoreboard offsets และ heap spray มีลักษณะ probabilistic แต่ในสภาพแวดล้อมทดสอบสามารถรันโค้ดได้ภายในไม่กี่นาที MPM prefork ไม่ได้รับผลกระทบ แต่ MPM worker และ event ที่นิยมใช้ในปัจจุบันล้วนมีความเสี่ยง

รายละเอียดช่องโหว่

ช่องโหว่เป็นประเภท CWE-415 (Double Free) ใน mod_http2 ของ Apache HTTP Server 2.4.66 เกิดจากการที่ HTTP/2 stream ถูก free สองครั้งในกระบวนการ cleanup ทำให้ heap memory เกิด corruption ผู้โจมตีที่เข้าถึง HTTP/2 endpoint สามารถส่ง crafted request sequence ที่ trigger double free ได้โดยไม่ต้องยืนยันตัวตน ผลลัพธ์ที่เกิดขึ้นแน่นอนคือ DoS (crash worker process) และในกรณีที่ผู้โจมตีมี info leak สามารถยกระดับเป็น RCE ได้เพราะ scoreboard อยู่ที่ fixed address

ผลกระทบต่อไทย

Apache HTTP Server เป็นเว็บเซิร์ฟเวอร์ที่ได้รับความนิยมสูงสุดในประเทศไทย ใช้งานทั้งในหน่วยงานราชการ ธนาคาร มหาวิทยาลัย และเว็บไซต์เอกชนจำนวนมาก เว็บไซต์ไทยจำนวนมากที่เปิดใช้ HTTP/2 (ซึ่งเป็นค่าเริ่มต้นในการตั้งค่าสมัยใหม่) ล้วนมีความเสี่ยง โดยเฉพาะเซิร์ฟเวอร์ที่ใช้ MPM worker หรือ event ผู้โจมตีสามารถทำ DoS เว็บไซต์สำคัญของไทยได้โดยง่าย และหากสามารถ exploit เป็น RCE ได้สำเร็จก็จะเข้าควบคุมเซิร์ฟเวอร์ได้ทั้งหมด

คำแนะนำ

  • อัปเดต Apache HTTP Server เป็นเวอร์ชัน 2.4.67 โดยด่วน
  • หากยังอัปเดตไม่ได้ทันที ให้พิจารณาปิด HTTP/2 ชั่วคราวโดยลบ Protocols h2 h2c ออกจาก config
  • ตรวจสอบว่าใช้ MPM ประเภทใด หากใช้ prefork จะไม่ได้รับผลกระทบ แต่ worker และ event มีความเสี่ยง
  • เปิดใช้ WAF (Web Application Firewall) ที่สามารถตรวจจับ HTTP/2 request ผิดปกติ
  • ตรวจสอบ log เซิร์ฟเวอร์สำหรับ worker process crash ที่ผิดปกติ ซึ่งอาจบ่งบอกถึงความพยายามโจมตี
  • วาง reverse proxy (เช่น Cloudflare หรือ HAProxy) หน้า Apache เพื่อเป็นชั้นป้องกันเพิ่มเติม

แหล่งอ้างอิง