CISA davė JAV vyriausybinėms agentūroms laiką iki trečiadienio vakaro apsaugoti savo serverius nuo SQL injekcijos pažeidžiamumo Drupal turinio valdymo sistemoje (TVS), kurį ji pažymėjo kaip aktyviai išnaudojamą.
„Drupal“ paprastai naudoja didelės organizacijos, valdančios didžiules duomenų struktūras ir daugialypius įrenginius, įskaitant vyriausybės subjektus, švietimo organizacijas, pagrindinius mokslinių tyrimų universitetus ir aukšto lygio įmonių bei žiniasklaidos organizacijas.
„Google“ / „Mandiant“ tyrėjas Michaelas Maturi aptiko šį pažeidžiamumą (dabar stebimas kaip CVE-2026-9082) Drupal duomenų bazės abstrakcijos API.
Saugos trūkumas gali būti išnaudotas be autentifikavimo, todėl užpuolikai gali suaktyvinti savavališką SQL injekciją „PostgreSQL“ valdomose svetainėse naudojant specialiai sukurtas užklausas. Sėkmingas išnaudojimas gali sukelti informacijos atskleidimą, privilegijų eskalavimą ir net nuotolinį kodo vykdymą.
Prieš išleisdama pataisas ir patvirtindama, kad laukinėje gamtoje buvo aptikta išnaudojimo, „Drupal“ saugumo komanda pažymėjo trūkumą kaip „labai kritišką“.
Interneto saugumo stebėjimo grupė „Shadowserver“ dabar stebi beveik 670 nepataisytų „Drupal“ įrenginių, rodomų internete, dauguma jų iš Šiaurės Amerikos (272) ir Europos (273).
Penktadienį JAV kibernetinio saugumo ir infrastruktūros saugumo agentūra (CISA) įtraukė trūkumą į žinomų išnaudotų pažeidžiamų vietų (KEV) katalogą ir įpareigojo federalinės civilinės vykdomosios valdžios (FCEB) agentūras pataisyti savo sistemas iki trečiadienio, gegužės 27 d., vidurnakčio, kaip įpareigoja Įpareigojanti veiklos direktyva (BOD222-01).
Nors BOD 22-01 taikomas tik JAV federalinėms agentūroms, CISA patarė visiems gynėjams, įskaitant privačiojo sektoriaus atstovus, kuo greičiau pritaikyti pataisas CVE-2026-9082, kad apsaugotų savo organizacijų įrenginius.
„Tokio tipo pažeidžiamumas yra dažnas kenkėjiškų kibernetinių veikėjų atakų vektorius ir kelia didelę riziką federalinei įmonei (..) Nors BOD 22-01 taikomas tik FCEB agentūroms, CISA primygtinai ragina visas organizacijas sumažinti kibernetinių atakų poveikį, teikiant pirmenybę savalaikiam KEV katalogo pažeidžiamumo valdymo partneriui. perspėjo kibernetinio saugumo agentūra.
„Taikykite švelninimo priemones pagal pardavėjo instrukcijas, laikykitės taikomų BOD 22-01 gairių debesijos paslaugoms arba nutraukite produkto naudojimą, jei mažinimo priemonės nepasiekiamos.
Per pastaruosius kelerius metus CISA pažymėjo 5 „Drupal“ pažeidžiamumus, kurie buvo išnaudoti gamtoje, iš kurių dviem taip pat buvo piktnaudžiaujama per išpirkos reikalaujančių programų atakas.
Automatiniai tikrinimo įrankiai suteikia tikrą vertę, tačiau jie buvo sukurti siekiant atsakyti į vieną klausimą: ar užpuolikas gali judėti tinkle? Jie nebuvo sukurti siekiant patikrinti, ar jūsų valdikliai blokuoja grėsmes, ar suveikia aptikimo taisyklės, ar galioja debesies konfigūracijos.
Šis vadovas apima 6 paviršius, kuriuos iš tikrųjų reikia patvirtinti.
Atsisiųskite dabar
