CISA telah memberikan waktu hingga Rabu malam kepada lembaga-lembaga pemerintah AS untuk mengamankan server mereka dari kerentanan injeksi SQL dalam sistem manajemen konten (CMS) Drupal yang ditandai sebagai dieksploitasi secara aktif.
Drupal biasanya digunakan oleh organisasi besar yang mengelola struktur data besar-besaran dan instalasi multi-situs, termasuk lembaga pemerintah, organisasi pendidikan, universitas riset besar, dan perusahaan terkemuka serta organisasi media.
Peneliti Google/Mandiant Michael Maturi menemukan kerentanan ini (sekarang dilacak sebagai CVE-2026-9082) di API abstraksi database Drupal.
Kelemahan keamanan dapat dieksploitasi tanpa autentikasi, sehingga memungkinkan penyerang memicu injeksi SQL sewenang-wenang di situs yang didukung PostgreSQL melalui permintaan yang dibuat khusus. Eksploitasi yang berhasil berpotensi mengarah pada pengungkapan informasi, peningkatan hak istimewa, dan bahkan eksekusi kode jarak jauh.
Tim keamanan Drupal menandai kelemahan tersebut sebagai “sangat kritis” sebelum merilis patch dan mengkonfirmasi hal itu upaya eksploitasi telah terdeteksi di alam liar.
“Sejak CVE-2026-9082 dirilis, Imperva telah mengamati lebih dari 15.000 upaya serangan yang menargetkan hampir 6.000 situs di 65 negara,” perusahaan keamanan siber Imperva diperingatkan pada 21 Mei. “Serangan terutama menargetkan situs Permainan dan Jasa Keuangan sejauh ini, secara kolektif hampir 50% dari seluruh serangan.”
Grup pengawas keamanan internet Shadowserver sekarang melacak hampir 670 instalasi Drupal yang belum ditambal terekspos secara online, sebagian besar berasal dari Amerika Utara (272) dan Eropa (273).
Pada hari Jumat, Badan Keamanan Siber dan Infrastruktur AS (CISA) ditambahkan cacatnya Katalog Kerentanan yang Dieksploitasi (KEV) yang Diketahui dan memerintahkan badan-badan Cabang Eksekutif Sipil Federal (FCEB) untuk memperbaiki sistem mereka pada tengah malam pada hari Rabu, 27 Mei, sebagaimana diamanatkan oleh Petunjuk Operasional yang Mengikat (BOD) 22-01.
Meskipun BOD 22-01 hanya berlaku untuk lembaga federal AS, CISA menyarankan semua pembela HAM, termasuk mereka yang bekerja di sektor swasta, untuk menerapkan patch CVE-2026-9082 sesegera mungkin untuk mengamankan perangkat organisasi mereka.
“Jenis kerentanan ini sering menjadi vektor serangan bagi pelaku siber jahat dan menimbulkan risiko signifikan bagi perusahaan federal [..] Meskipun BOD 22-01 hanya berlaku untuk lembaga FCEB, CISA sangat mendesak semua organisasi untuk mengurangi paparan mereka terhadap serangan siber dengan memprioritaskan perbaikan kerentanan Katalog KEV secara tepat waktu sebagai bagian dari praktik manajemen kerentanan mereka,” badan keamanan siber tersebut memperingatkan.
“Terapkan mitigasi sesuai instruksi vendor, ikuti panduan BOD 22-01 yang berlaku untuk layanan cloud, atau hentikan penggunaan produk jika mitigasi tidak tersedia.”
Selama beberapa tahun terakhir, CISA telah melakukannya menandai 5 kerentanan Drupal yang telah dieksploitasi secara liar, dua di antaranya juga telah disalahgunakan dalam serangan ransomware.
Kesenjangan Validasi: Pentesting Otomatis Menjawab Satu Pertanyaan. Anda Membutuhkan Enam.
Alat pentesting otomatis memberikan nilai nyata, namun alat tersebut dibuat untuk menjawab satu pertanyaan: dapatkah penyerang bergerak melalui jaringan? Mereka tidak dibuat untuk menguji apakah kontrol Anda memblokir ancaman, aturan deteksi Anda diaktifkan, atau konfigurasi cloud Anda dipertahankan.
Panduan ini mencakup 6 permukaan yang sebenarnya perlu Anda validasi.
