CISA davė 48 valandas: tiek laiko turite užlopyti Drupal serverius, kol kas nors juos užvaldys

Jei jūsų organizacija naudoja Drupal turinio valdymo sistemą, o serveris veikia su PostgreSQL duomenų baze — turite laiko iki trečiadienio vidurnakčio. Ne metaforiškai. JAV Kibernetinio saugumo ir infrastruktūros apsaugos agentūra (CISA) penktadienį įtraukė kritinę Drupal spragą į aktyviai išnaudojamų pažeidžiamumų katalogą ir davė federalinėms agentūroms konkrečią pataisymo ribą: 2026 m. gegužės 27 d., vidurnaktis.

Saugumo tyrėjas Michael Maturi iš „Google/Mandiant" atrado pažeidžiamumą CVE-2026-9082 Drupal duomenų bazių abstrakcijos API. Problema ta, kad užpuolikui nereikia jokio autentifikavimo — pakanka specialiai suformuotos užklausos, kad būtų paleista SQL injekcija prieš PostgreSQL varomą svetainę. Pasekmės gali būti informacijos nutekėjimas, privilegijų eskalavimas ar net nuotolinis kodo vykdymas.

Drupal saugumo komanda spragą įvertino kaip itin kritinę ir patvirtino, kad išnaudojimo bandymai jau fiksuojami realiame pasaulyje. Interneto saugumo organizacija „Shadowserver" dabar seka beveik 670 neatnaujintų Drupal diegimų, kurių dauguma yra Šiaurės Amerikoje (272) ir Europoje (273).

Nors CISA direktyva BOD 22-01 formaliai taikoma tik JAV federalinėms agentūroms, agentūra aiškiai rekomenduoja ir privataus sektoriaus organizacijoms nedelsiant įdiegti pataisas. „Šio tipo pažeidžiamumai yra dažnas kenkėjiškų kibernetinių veikėjų atakų vektorius," — perspėjo CISA.

Tai jau penkta Drupal spraga per kelerius pastaruosius metus, kurią CISA pažymėjo kaip aktyviai išnaudojamą. Dvi iš jų buvo panaudotos ir išpirkos reikalaujančiose atakose.