SchwachstellenHackerangriffeCyberkriminalität

Kritische Drupal-Sicherheitslücke: CISA ordnet Notfall-Patches an

Von CyberDeutsch Redaktion
Kritische Drupal-Sicherheitslücke: CISA ordnet Notfall-Patches an
Zusammenfassung

Eine kritische Sicherheitslücke im weit verbreiteten Content-Management-System Drupal wird derzeit aktiv von Angreifern ausgenutzt. Die als CVE-2026-9082 registrierte SQL-Injection-Schwachstelle betrifft das Datenbankabstraktions-API und ermöglicht es Unbefugten, ohne Authentifizierung beliebige SQL-Befehle auf PostgreSQL-basierten Systemen auszuführen. Dies könnte zur Offenlegung sensibler Daten, Ausweitung von Berechtigungen oder sogar zur Fernausführung von Code führen. Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat die Sicherheitslücke sofort in ihren Katalog der aktiv genutzten Schwachstellen aufgenommen und US-Bundesbehörden ein viertägiges Ultimatum zum Patchen ihrer Systeme gesetzt. Für Deutschland ist dies insofern relevant, als Drupal von vielen großen Organisationen, Behörden, Universitäten und Medienunternehmen genutzt wird. Die Shadowserver Foundation hat bereits fast 670 ungepatschte Drupal-Installationen im Internet identifiziert, davon ein erheblicher Teil in Europa. Deutsche Organisationen sollten dringend prüfen, ob sie Drupal einsetzen, und erforderliche Sicherheitspatches unverzüglich einspielen, um sich vor diesem kritischen Risiko zu schützen.

Die neu entdeckte Sicherheitslücke wurde von Google/Mandiant-Forscher Michael Maturi identifiziert und betrifft Drupals Datenbank-Abstraktions-API. Das Besondere: Die Schwachstelle kann ohne Authentifizierung ausgenutzt werden. Angreifer können durch speziell präparierte Anfragen arbitrary SQL-Injection-Attacken auf PostgreSQL-gestützten Websites auslösen. Im schlimmsten Fall führt das zu Informationsoffenbarung, Privilege Escalation oder sogar Remote Code Execution – also zur vollständigen Übernahme eines Systems.

Das Drupal-Sicherheitsteam stufte die Flaw als “highly critical” ein und bestätigte kurz darauf, dass erste Exploitierungsversuche in der freien Wildbahn entdeckt wurden. Damit ist CVE-2026-9082 keine theoretische Bedrohung mehr – sie wird aktiv von Cyberkriminellen ausgenutzt.

Die CISA-Anordnung folgt einem strengen Protokoll: Das Binding Operational Directive (BOD) 22-01 verpflichtet alle Bundesbehörden, bekannte ausgebeutete Schwachstellen innerhalb strenger Fristen zu patchen. Für diese Drupal-Lücke bedeutet das: bis Mittwochabend patchen oder offline nehmen. Zwar richtet sich diese Direktive formal nur an US-Behörden – doch CISA appelliert dringend an alle Organisationen weltweit, die Patches sofort einzuspielen.

Die geografische Verteilung der gefährdeten Installationen zeigt das Ausmaß: Während Nordamerika mit 272 ungepatchten Systemen führt, sind in Europa 273 Drupal-Instanzen noch verwundbar. Diese Zahlen deuten auf eine signifikante Anzahl deutscher und europäischer Organisationen hin, die Risiken eingehen.

Historisch betrachtet hat CISA in den letzten Jahren fünf Drupal-Schwachstellen verfolgt, die in der freien Wildbahn ausgebeutet wurden. Zwei davon waren auch Teil von Ransomware-Kampagnen – eine besonders tückische Variante, die Unternehmen zur Zahlung von Lösegeld zwingt. Das Muster ist alarmierend: SQL-Injection-Lücken sind ein Lieblingsziel von Cyberkriminellen, weil sie Zugriff auf Datenbanken gewähren, die oft Kundendaten, Geschäftsgeheimnisse oder staatliche Informationen enthalten.

Deutsche Unternehmen und Behörden sollten unverzüglich ihre Drupal-Installationen überprüfen und die verfügbaren Sicherheitspatches einspielen. Das BSI wird voraussichtlich Empfehlungen herausgeben. Organisationen ohne Möglichkeit zu patchen sollten Drupal als Notfall-Maßnahme offline nehmen.

Ähnliche Artikel