CISAは、米国政府機関に対して水曜日夜までに、積極的に悪用されていると指摘したDrupalコンテンツ管理システム(CMS)のSQL注入脆弱性に対してサーバーを保護するよう指示しました。
Drupalは通常、政府機関、教育機関、主要研究大学、有名なエンタープライズおよびメディア機関など、大規模なデータ構造とマルチサイトインストレーションを管理する大規模組織によって使用されています。
Google/Mandiactリサーチャーのマイケル・マトゥーリがこの脆弱性を発見しました。現在追跡されているのはビデオプレイヤーが現在広告を再生しています。マウスまたはキーボードで5秒で広告をスキップできます
このセキュリティ欠陥は認証なしで悪用でき、攻撃者が特別に作成されたリクエストを通じてPostgreSQLで動作するサイトで任意のSQL注入を引き起こすことができます。悪用が成功した場合、情報漏洩、権限昇格、さらにはリモートコード実行につながる可能性があります。
Drupalセキュリティチームは欠陥を「非常に重大」とタグ付けしましたパッチをリリースする前に、そして悪用の試みが実際に検出されていたことを確認しました。
インターネットセキュリティ監視グループShadowserverは現在ほぼ670のパッチが適用されていないDrupalインストレーションを追跡しており、そのほとんどが北米(272)とヨーロッパ(273)からのものです。
金曜日、米国サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)は欠陥をその既知の悪用された脆弱性(KEV)カタログに追加し、連邦民間行政庁(FCEB)機関に5月27日水曜日の真夜中までにシステムにパッチを当てるよう命令しました。拘束力のある運用指令(BOD) 22-01で定められています。
BOD 22-01は米国連邦機関にのみ適用されていますが、CISAは民間部門を含むすべての防御者に対して、組織のデバイスを保護するためにCVE-2026-9082パッチをできるだけ早く適用するようアドバイスしました。
「このタイプの脆弱性は悪質なサイバー行為者にとって頻繁な攻撃ベクトルであり、連邦エンタープライズに重大なリスクをもたらします[…]BOD 22-01はFCEB機関にのみ適用されますが、CISAはすべての組織に対して、脆弱性管理慣行の一部としてKEVカタログの脆弱性の適時の修復を優先することにより、サイバー攻撃への露出を減らすことを強く促しています。」とサイバーセキュリティ機関は警告しました。
「ベンダーの指示に従って軽減策を適用するか、クラウドサービスに適用可能なBOD 22-01ガイダンスに従うか、軽減策が利用できない場合は製品の使用を中止してください。」
過去数年間、CISAは5つのDrupal脆弱性が野生で悪用されていることにフラグを立てており、そのうち2つはランサムウェア攻撃でも悪用されています。
検証ギャップ:自動ペネトレーションテストは1つの質問に答えます。あなたは6つが必要です。
自動ペネトレーションテストツールは実際の価値を提供しますが、1つの質問に答えるために構築されました:攻撃者はネットワークを通過できますか?それらは、あなたのコントロールが脅威をブロックするか、あなたの検出ルールが発火するか、またはあなたのクラウド構成が保持されるかをテストするために構築されていません。
このガイドは、実際に検証する必要がある6つの表面をカバーしています。
