Det amerikanske cybersikkerhedsagentur CISA udstedte et hastepåbud, der beordrer føderale myndigheder til at patche en kritisk Drupal-sårbarhed, som angribere allerede udnytter i virkelige angreb.
Sårbarheden påvirker Drupal-websites, der bruger PostgreSQL-databaser, og kan gøre det muligt for angribere at udføre ondsindede SQL-kommandoer eksternt. Sikkerhedsforskere advarer om, at vellykket udnyttelse kan føre til datatyveri, eskalering af privilegier eller fuld kompromittering af systemer.
CISA tilføjede sårbarheden til sin Known Exploited Vulnerabilities-katalog, efter at forskere bekræftede aktive angreb mod eksponerede systemer.
Sårbarheden muliggør angreb uden autentificering
Forskere identificerede Drupal-sårbarheden som CVE-2026-9082, en kritisk SQL injection-sårbarhed, der påvirker Drupal Core-installationer, som bruger PostgreSQL-databaser.
Ifølge sikkerhedsadvarsler kan angribere udnytte sårbarheden eksternt uden autentificering ved at sende særligt udformede forespørgsler til sårbare systemer.
Forskere advarer om, at vellykket udnyttelse kan gøre det muligt for angribere at:
- Udføre ondsindede SQL-kommandoer
- Få adgang til følsomme oplysninger
- Eskalere privilegier
- Kompromittere backend-databaser
- Opnå fjernudførelse af kode
Sårbarheden påvirker angiveligt en beskyttelsesmekanisme, der har ansvar for at rense databaseforespørgsler i Drupal.
Udnyttelsen begyndte hurtigt efter offentliggørelsen
Sikkerhedsforskere observerede angrebsforsøg kort efter, at Drupal udgav sikkerhedsopdateringer i maj 2026. Advarslen blev senere opdateret for at bekræfte, at angribere aktivt udnyttede sårbare systemer online.
Forskerne rapporterede mere end 15.000 angrebsforsøg rettet mod tusindvis af Drupal-websites i dusinvis af lande blot få dage efter offentliggørelsen.
Efterforskere oplyste, at organisationer inden for finans- og spilsektoren stod for en stor del af den observerede målaktivitet. Forskere advarede også om, at angriberne i øjeblikket ser ud til at fokusere på rekognoscering og validering af sårbarheder, før større kompromitteringskampagner igangsættes.
CISA fastsatte en hastefrist for afhjælpning
CISA beordrede myndigheder under Federal Civilian Executive Branch til at sikre berørte systemer i henhold til Binding Operational Directive 22-01. Agenturet udtalte, at sårbarheder, der tilføjes til Known Exploited Vulnerabilities-kataloget, kræver øjeblikkelig opmærksomhed, fordi angribere allerede bruger dem i aktive operationer.
Direktivet understreger det voksende pres på organisationer for hurtigt at patche interneteksponerede systemer efter offentliggørelse af sårbarheder.
Sikkerhedseksperter opfordrede også private organisationer, der driver Drupal-miljøer, til straks at installere tilgængelige sikkerhedsopdateringer, især på systemer forbundet til PostgreSQL-databaser.
Drupal fortsætter med at være et almindeligt mål
Drupal driver tusindvis af websites inden for erhvervsliv, myndigheder, uddannelse og medier verden over. Platformens udbredelse betyder, at kritiske sårbarheder hurtigt tiltrækker opmærksomhed fra cyberkriminelle grupper og automatiserede angrebskampagner.
Forskere advarer om, at angribere rutinemæssigt scanner internettet for upatchede Drupal-systemer inden for få timer efter, at sikkerhedsadvarsler offentliggøres.
Tidligere Drupal-sårbarheder har også udløst storskalakampagner, som kompromitterede eksponerede servere, før organisationer nåede at installere patches.
Konklusion
Den aktivt udnyttede Drupal-sårbarhed har udløst alvorlige advarsler fra CISA og cybersikkerhedsforskere verden over. Efterforskere har allerede observeret tusindvis af angrebsforsøg mod eksponerede Drupal-systemer kort efter offentliggørelsen. Sikkerhedseksperter mener derfor, at organisationer, der bruger berørte Drupal-miljøer, bør prioritere patching øjeblikkeligt for at reducere risikoen for kompromittering.
0 svar til “CISA beordrer myndigheder til at patche aktivt udnyttet Drupal-sårbarhed”