Die US-amerikanische Cybersicherheitsbehörde CISA hat eine dringende Anweisung veröffentlicht, die Bundesbehörden dazu verpflichtet, eine kritische Drupal-Schwachstelle zu patchen, die Angreifer bereits in realen Angriffen ausnutzen.
Die Schwachstelle betrifft Drupal-Websites mit PostgreSQL-Datenbanken und könnte es Angreifern ermöglichen, bösartige SQL-Befehle aus der Ferne auszuführen. Sicherheitsforscher warnen, dass eine erfolgreiche Ausnutzung zu Datendiebstahl, Rechteausweitung oder einer vollständigen Kompromittierung von Systemen führen kann.
CISA nahm die Schwachstelle in ihren Katalog der Known Exploited Vulnerabilities auf, nachdem Forscher aktive Angriffe auf exponierte Systeme bestätigt hatten.
Die Schwachstelle ermöglicht Angriffe ohne Authentifizierung
Forscher identifizierten die Drupal-Schwachstelle als CVE-2026-9082, eine kritische SQL-Injection-Schwachstelle, die Drupal-Core-Installationen mit PostgreSQL-Datenbanken betrifft.
Laut Sicherheitswarnungen können Angreifer die Schwachstelle aus der Ferne ohne Authentifizierung ausnutzen, indem sie speziell gestaltete Anfragen an verwundbare Systeme senden.
Forscher warnen, dass eine erfolgreiche Ausnutzung Angreifern ermöglichen könnte:
- Bösartige SQL-Befehle auszuführen
- Auf sensible Informationen zuzugreifen
- Privilegien zu eskalieren
- Backend-Datenbanken zu kompromittieren
- Remote Code Execution zu erreichen
Die Schwachstelle betrifft Berichten zufolge einen Schutzmechanismus, der für die Bereinigung von Datenbankabfragen innerhalb von Drupal verantwortlich ist.
Die Ausnutzung begann kurz nach der Veröffentlichung
Sicherheitsforscher beobachteten erste Angriffsversuche kurz nachdem Drupal im Mai 2026 Sicherheitsupdates veröffentlicht hatte. Die Sicherheitswarnung wurde später aktualisiert, um zu bestätigen, dass Angreifer verwundbare Systeme aktiv im Internet ausnutzen.
Die Forscher meldeten mehr als 15.000 Angriffsversuche auf Tausende Drupal-Websites in Dutzenden Ländern innerhalb weniger Tage nach der Veröffentlichung.
Ermittler erklärten, dass Organisationen aus dem Finanz- und Glücksspielsektor einen großen Teil der beobachteten Zielaktivitäten ausmachten. Forscher warnten außerdem davor, dass Angreifer derzeit offenbar vor allem Aufklärung und Schwachstellenvalidierung durchführen, bevor sie größere Angriffskampagnen starten.
CISA setzte eine dringende Frist zur Behebung
CISA verpflichtete Behörden der Federal Civilian Executive Branch dazu, betroffene Systeme gemäß der Binding Operational Directive 22-01 abzusichern. Die Behörde erklärte, dass Schwachstellen im Known Exploited Vulnerabilities-Katalog sofortige Aufmerksamkeit erfordern, da Angreifer sie bereits aktiv ausnutzen.
Die Anweisung verdeutlicht den zunehmenden Druck auf Organisationen, internetexponierte Systeme schnell nach der Veröffentlichung von Schwachstellen zu patchen.
Sicherheitsexperten forderten außerdem private Organisationen mit Drupal-Umgebungen dazu auf, verfügbare Sicherheitsupdates sofort zu installieren, insbesondere auf Systemen mit PostgreSQL-Datenbanken.
Drupal bleibt ein häufiges Ziel
Drupal betreibt weltweit Tausende Websites aus den Bereichen Unternehmen, Behörden, Bildung und Medien. Aufgrund der weiten Verbreitung ziehen kritische Schwachstellen innerhalb der Plattform häufig schnell die Aufmerksamkeit cyberkrimineller Gruppen und automatisierter Angriffskampagnen auf sich.
Forscher warnen, dass Angreifer routinemäßig innerhalb weniger Stunden nach Veröffentlichung von Sicherheitswarnungen das Internet nach ungepatchten Drupal-Systemen durchsuchen.
Frühere Drupal-Schwachstellen führten ebenfalls zu groß angelegten Exploit-Kampagnen, die exponierte Server kompromittierten, bevor Organisationen Patches installieren konnten.
Fazit
Die aktiv ausgenutzte Drupal-Schwachstelle hat dringende Warnungen von CISA und Cybersicherheitsforschern weltweit ausgelöst. Ermittler beobachteten bereits kurz nach der Veröffentlichung Tausende Angriffsversuche auf exponierte Drupal-Systeme. Sicherheitsexperten sind deshalb überzeugt, dass Organisationen mit betroffenen Drupal-Umgebungen die Installation von Patches sofort priorisieren sollten, um das Risiko einer Kompromittierung zu reduzieren.
0 Kommentare zu „CISA ordnet an, aktiv ausgenutzte Drupal-Schwachstelle zu patchen“