Jei jūsų svetainė veikia ant Drupal ir naudoja PostgreSQL duomenų bazę, pastarosios 48 valandos jums buvo karštos. Ir ne dėl eismo šuolio.
Gegužės 22 dieną JAV Kibernetinio saugumo ir infrastruktūros agentūra (CISA) įtraukė ką tik pataisytą Drupal pažeidžiamumą į savo žinomų išnaudojamų spragų (KEV) katalogą. Tai ne eilinė saugumo rekomendacija — KEV sąrašas reiškia, kad spraga jau aktyviai naudojama atakoms realiame pasaulyje, o federalinės agentūros privalo užlopyti sistemas per nustatytą terminą.
Kalbama apie CVE-2026-9082 — SQL injekcijos pažeidžiamumą, veikiantį visose palaikomose Drupal Core versijose. CVSS balas 6.5 gali atrodyti kukliai, bet CISA perspėja, kad spraga leidžia privilegijų eskalavimą ir nuotolinį kodo vykdymą. Tai reiškia, kad užpuolikas gali nuo duomenų skaitymo pereiti prie pilnos serverio kontrolės.
// reklamaČia gali būti jūsų reklamaSusisiekite →Kad ir kaip blogai tai skambėtų, tikrasis vaizdas yra dar aštresnis. Vos per dvi dienas nuo pataisos paskelbimo „Thales" valdoma „Imperva" užfiksavo daugiau nei 15 000 atakos bandymų, nukreiptų prieš beveik 6 000 atskirų svetainių 65 šalyse. Kol kas beveik pusė visų atakų taikosi į žaidimų ir finansinių paslaugų sektorius.
„Imperva" specialistų vertinimu, dauguma stebimo aktyvumo kol kas yra žvalgybinio pobūdžio — atakuotojai ir skeneriai bando identifikuoti atvirus Drupal serverius, ypač tuos, kurie naudoja PostgreSQL. Tačiau pati pažeidžiamumo prigimtis reiškia, kad sėkminga ataka gali akimirksniu pereiti nuo žvalgybos prie duomenų vagystės ar privilegijų eskalavimo.
Drupal komanda gegužės 22 dieną atnaujino savo saugumo pranešimą, oficialiai patvirtindama: išnaudojimo bandymai jau fiksuojami. Federalinės vykdomosios valdžios agentūroms (FCEB) nustatytas terminas pataisoms įdiegti — 2026 metų gegužės 27 diena.
Drupal yra trečias pagal populiarumą turinio valdymo variklis pasaulyje, naudojamas tokių institucijų kaip NASA, Europos Komisija, „Tesla" ir dešimtys universitetų. Nors PostgreSQL nėra numatytoji Drupal duomenų bazė, daugelis didesnių diegimų renkasi būtent ją dėl našumo ir patikimumo — todėl taikinys yra siauresnis nei visi Drupal serveriai, bet potencialiai daug vertingesnis.
Dažnai užduodami klausimai
- Ar mano Drupal svetainė paveikta?
- Jei naudojate PostgreSQL duomenų bazę ir dar neįsidiegėte gegužės 20 dienos pataisų — taip. Patikrinkite savo Drupal versiją ir nedelsdami atnaujinkite. Drupal paskelbė pataisas visoms palaikomoms versijoms.
- Ar atakos jau vyksta Lietuvoje?
- „Imperva" fiksavo atakas 65 šalyse, tačiau konkrečių šalių sąrašo neskelbė. Atsižvelgiant į tai, kad dauguma atakų yra automatiniai skeneriai, Lietuvoje veikiantys Drupal serveriai greičiausiai jau buvo patikrinti.
- Kas atsitinka, jei ataka pavyksta?
- Užpuolikas gali skaityti duomenų bazę, o per privilegijų eskalavimą — vykdyti kodą serveryje. Tai reiškia pilną svetainės perėmimą su galimybe keisti turinį, vagyti vartotojų duomenis arba naudoti serverį tolesnėms atakoms.
Šaltiniai
- The Hacker News — Drupal Core SQL Injection Bug Actively Exploited, Added to CISA KEVThehackernews · 2026
- CISA Known Exploited Vulnerabilities CatalogCisa · 2026
- Drupal oficialus saugumo pranešimas SA-CORE-2026-004Drupal · 2026
- Imperva Threat Research — Drupal CVE-2026-9082 attack landscapeImperva · 2026
