CISA beordrer myndigheter til å patche aktivt utnyttet Drupal-sårbarhet

Det amerikanske cybersikkerhetsbyrået CISA utstedte et hastepålegg som beordrer føderale myndigheter til å patche en kritisk Drupal-sårbarhet som angripere allerede utnytter i virkelige angrep.

Sårbarheten påvirker Drupal-nettsteder som bruker PostgreSQL-databaser og kan gjøre det mulig for angripere å kjøre ondsinnede SQL-kommandoer eksternt. Sikkerhetsforskere advarer om at vellykket utnyttelse kan føre til datatyveri, eskalering av privilegier eller full kompromittering av systemer.

CISA la sårbarheten til i sin Known Exploited Vulnerabilities-katalog etter at forskere bekreftet aktive angrep mot eksponerte systemer.

Sårbarheten muliggjør angrep uten autentisering

Forskere identifiserte Drupal-sårbarheten som CVE-2026-9082, en kritisk SQL injection-sårbarhet som påvirker Drupal Core-installasjoner som bruker PostgreSQL-databaser.

Ifølge sikkerhetsråd kan angripere utnytte sårbarheten eksternt uten autentisering ved å sende spesialutformede forespørsler til sårbare systemer.

Forskere advarer om at vellykket utnyttelse kan gjøre det mulig for angripere å:

• Kjøre ondsinnede SQL-kommandoer
• Få tilgang til sensitiv informasjon
• Eskalere privilegier
• Kompromittere backend-databaser
• Oppnå fjernkjøring av kode

Sårbarheten skal påvirke en beskyttelsesmekanisme som har ansvar for å rense databaseforespørsler i Drupal.

Utnyttelsen startet raskt etter offentliggjøringen

Sikkerhetsforskere oppdaget angrepsforsøk kort tid etter at Drupal publiserte sikkerhetsoppdateringer i mai 2026. Sikkerhetsmeldingen ble senere oppdatert for å bekrefte at angripere aktivt utnyttet sårbare systemer på nettet.

Forskerne rapporterte mer enn 15 000 angrepsforsøk rettet mot tusenvis av Drupal-nettsteder i dusinvis av land bare få dager etter offentliggjøringen.

Etterforskere opplyste at organisasjoner innen finans- og spillsektoren sto for en stor del av den observerte målaktiviteten. Forskere advarte også om at angriperne foreløpig ser ut til å fokusere på kartlegging og validering av sårbarheter før større kompromitteringskampanjer settes i gang.

CISA satte en hastefrist for utbedring

CISA beordret myndigheter under Federal Civilian Executive Branch til å sikre berørte systemer i henhold til Binding Operational Directive 22-01. Byrået uttalte at sårbarheter som legges til i Known Exploited Vulnerabilities-katalogen krever umiddelbar oppmerksomhet fordi angripere allerede bruker dem i aktive operasjoner.

Direktivet viser det økende presset på organisasjoner til å patche internettilkoblede systemer raskt etter at sårbarheter blir offentlig kjent.

Sikkerhetseksperter oppfordret også private organisasjoner som bruker Drupal-miljøer til å installere tilgjengelige sikkerhetsoppdateringer umiddelbart, spesielt på systemer som benytter PostgreSQL-databaser.

Drupal fortsetter å være et vanlig mål

Drupal driver tusenvis av nettsteder innen næringsliv, myndigheter, utdanning og medier over hele verden. Plattformens utbredelse gjør at kritiske sårbarheter raskt tiltrekker seg oppmerksomhet fra cyberkriminelle grupper og automatiserte angrepskampanjer.

Forskere advarer om at angripere rutinemessig skanner internett etter upatchede Drupal-systemer bare timer etter at sikkerhetsvarsler publiseres.

Tidligere Drupal-sårbarheter har også ført til storskala utnyttelseskampanjer som kompromitterte eksponerte servere før organisasjoner rakk å installere patcher.

Konklusjon

Den aktivt utnyttede Drupal-sårbarheten har utløst alvorlige advarsler fra CISA og cybersikkerhetsforskere over hele verden. Etterforskere har allerede observert tusenvis av angrepsforsøk mot eksponerte Drupal-systemer kort tid etter offentliggjøringen. Sikkerhetseksperter mener derfor at organisasjoner som bruker berørte Drupal-miljøer bør prioritere patching umiddelbart for å redusere risikoen for kompromittering.