CISA naredila američkim saveznim agencijama zakrpu aktivno iskorištavane Drupal ranjivosti

Američka Agencija za kibernetičku sigurnost i sigurnost infrastrukture (CISA) naredila je saveznim civilnim izvršnim agencijama da do srijede navečer zakrpe ranjivost u sustavu Drupal koju je označila kao aktivno iskorištavanu. Riječ je o SQL injection propustu u Drupalovu sustavu za upravljanje sadržajem, a zakrpe su objavljene nakon što je Drupalov sigurnosni tim ranjivost ocijenio kao „vrlo kritičnu” i potvrdio da su uočenI pokušaji iskorištavanja u stvarnom okruženju.

Ranjivost je evidentirana kao CVE-2026-9082, a prema opisu koji se navodi, otkrio ju je istraživač Michael Maturi iz Google/Mandianta u Drupalovu database abstraction API-ju. Propust se može iskoristiti bez autentikacije, a napadačima omogućuje pokretanje proizvoljnog SQL injectiona na stranicama koje koriste PostgreSQL putem posebno oblikovanih zahtjeva. Uspješno iskorištavanje potencijalno može dovesti do otkrivanja podataka, eskalacije privilegija, a u nekim slučajevima i do udaljenog izvršavanja koda.

Shadowserver trenutačno prati gotovo 670 nepopravljenih Drupal instalacija izloženih na internetu, a većina ih je, prema njihovom praćenju, u Sjevernoj Americi i Europi. CISA je ranjivost dodala u svoj Known Exploited Vulnerabilities (KEV) katalog te je saveznim civilnim izvršnim agencijama odredila rok do ponoći u srijedu, 27. svibnja, u skladu s Binding Operational Directive 22-01. Ta se obveza odnosi na američke federalne agencije, ali CISA je i drugim organizacijama preporučila da zakrpe primijene što prije.

Agencija je upozorila da je ovakav tip ranjivosti česta ulazna točka za zlonamjerne kibernetičke aktere i da nosi značajne rizike za federalna okruženja. Također je navela da organizacije trebaju primijeniti ublažavanja prema uputama proizvođača, slijediti odgovarajuće smjernice iz BOD 22-01 za cloud usluge ili prestati koristiti proizvod ako ublažavanja nisu dostupna. CISA je u posljednjih nekoliko godina označila pet Drupal ranjivosti koje su bile iskorištavane u stvarnim napadima, a dvije od njih također su bile zloupotrijebljene u ransomware kampanjama.