Drupal-Lücke CVE-2026-9082: CISA setzt Frist bis 27. Mai

Sicherheitsforscher schlagen Alarm: Eine schwerwiegende Schwachstelle im Content-Management-System Drupal wird derzeit aktiv von Hackern ausgenutzt. Die als CVE-2026-9082 bekannte Sicherheitslücke erhielt mit einem CVSS-Score von 9,8 die höchste Risikobewertung. Die US-amerikanische Cybersicherheitsbehörde CISA hat den Exploit in ihren Katalog bekannter Schwachstellen aufgenommen und setzt Bundesbehörden eine Frist bis zum 27. Mai 2026 zur Behebung.

Der aktuelle Angriff auf Drupal zeigt, wie gezielt Kriminelle technische Schwachstellen für den Datendiebstahl nutzen. Ein kostenloses E-Book enthüllt, welche weiteren Bedrohungen 2024 auf Ihr Unternehmen zukommen und wie Sie Sicherheitslücken ohne großes Budget schließen. IT-Sicherheit stärken und Unternehmen schützen

PostgreSQL im Visier: So funktioniert der Angriff

Die Schwachstelle liegt in der Datenbank-Abstraktions-API von Drupal. Entscheidend: Ausschließlich Installationen mit PostgreSQL sind betroffen. Drupal unterstützt zwar verschiedene Datenbank-Backends, doch nur bei PostgreSQL können Angreifer die SQL-Injection-Lücke ausnutzen.

Das macht die Bedrohung besonders gefährlich: Angreifer benötigen keine Anmeldedaten. Jeder anonyme Nutzer kann schädliche SQL-Befehle einschleusen. Die möglichen Folgen reichen von unbefugtem Datenzugriff über Rechteausweitung bis hin zur vollständigen Übernahme des Servers.

15.000 Angriffsversuche in wenigen Tagen

Seit der Veröffentlichung der Schwachstelle am 20. Mai 2026 hat sich die Bedrohungslage dramatisch zugespitzt. Das Sicherheitsunternehmen Imperva, eine Tochter von Thales, registrierte bereits über 15.000 Angriffsversuche auf rund 6.000 Websites in 65 Ländern.

Besonders besorgniserregend: Die Angreifer gehen gezielt vor. Rund die Hälfte aller Attacken richtet sich gegen zwei Branchen:
- Gaming-Plattformen
- Finanzdienstleister

Diese Sektoren verwalten besonders wertvolle Nutzerdaten und versprechen hohe finanzielle Beute. Doch auch öffentliche Einrichtungen sind betroffen. In Frankreich etwa gelten mehrere Universitäts-Websites, lokale Regierungsportale und offizielle „.gouv.fr"-Domains als verwundbar.

Entdeckt wurde die Sicherheitslücke von Michael Maturi, einem Forscher bei Google/Mandiant. Das Drupal-Sicherheitsteam reagierte ungewöhnlich schnell und erhöhte den internen Risikoscore von 20 auf 23 von maximal 25 Punkten – ein klares Signal für die wachsende Gefahr.

CISA schaltet sich ein: Frist für Bundesbehörden

Am 22. Mai 2026 nahm CISA die Schwachstelle in den Katalog bekannter Exploits auf. Für US-Bundesbehörden gilt nun eine verbindliche Frist bis zum 27. Mai 2026 zur Behebung. Zwar sind private Unternehmen nicht direkt verpflichtet, doch CISA empfiehlt dringend, denselben Zeitplan einzuhalten.

Die Shadowserver Foundation, die weltweit Internetverbindungen überwacht, identifizierte bei aktuellen Scans noch rund 670 ungepatchte Drupal-Installationen. Diese verteilen sich fast gleichmäßig auf Nordamerika (272) und Europa (273).

Patches verfügbar – auch für veraltete Versionen

Die gute Nachricht: Für die meisten Versionen stehen Sicherheitsupdates bereit. Betroffen sind folgende Drupal-Versionen mit PostgreSQL:
- 10.4.x, 10.5.x, 10.6.x
- 11.1.x, 11.2.x, 11.3.x

Das Drupal-Team hat sogar für die längst eingestellten Versionen 8.9 und 9.5 Patches veröffentlicht – ein ungewöhnlicher Schritt, der die Schwere der Bedrohung unterstreicht. Gerade Unternehmen mit veralteter Software sind besonders gefährdet.

Im Kontext: Sicherheitslücken als Hauptangriffsvektor

Die Drupal-Lücke reiht sich in einen besorgniserregenden Trend ein. Der aktuelle Verizon Data Breach Investigations Report 2026 zeigt: Rund 31 Prozent aller Sicherheitsverletzungen gehen auf ausgenutzte Software-Schwachstellen zurück. Klassische Methoden wie Passwortdiebstahl werden zunehmend von solchen Angriffen verdrängt.

Für Unternehmen in Deutschland und Europa ergibt sich eine besondere Herausforderung. Da die Lücke ausschließlich PostgreSQL betrifft, könnten Organisationen mit MySQL oder MariaDB voreilig Entwarnung geben. Doch in komplexen IT-Umgebungen mit verschiedenen Datenbanksystemen kann diese Einschätzung trügerisch sein.

Neben technischen Leaks nutzen Hacker oft psychologische Tricks, um in Firmennetzwerke einzudringen. Erfahren Sie in diesem kostenlosen Anti-Phishing-Paket, wie Sie Ihr Unternehmen in 4 Schritten effektiv gegen Cyberkriminalität und Manipulation absichern. Anti-Phishing-Paket jetzt gratis herunterladen

Handlungsempfehlungen für betroffene Organisationen

IT-Verantwortliche sollten sofort handeln:
1. Drupal-Version und Datenbank-Backend prüfen – PostgreSQL-Installationen haben höchste Priorität
2. Sicherheitsupdates einspielen – Die verfügbaren Patches decken alle unterstützten Versionen ab
3. Datenbank-Logs überwachen – Auffällige SQL-Abfragen deuten auf Angriffsversuche hin
4. Web Application Firewalls konfigurieren – Schutzregeln gegen SQL-Injection einrichten

Für Unternehmen, die nicht sofort patchen können, empfehlen Sicherheitsexperten eine verstärkte Überwachung und die Implementierung von WAF-Regeln, die speziell auf die Datenbank-Abstraktions-API abzielen.

Die Zeit drängt: Zwischen der Veröffentlichung der Schwachstelle und der Aufnahme in den CISA-Katalog vergingen nur zwei Tage. IT-Abteilungen müssen ihre Patch-Prozesse automatisieren, um mit dem Tempo der Angreifer Schritt zu halten. Nach Ablauf der Frist am 27. Mai wird sich der Fokus der Sicherheitsgemeinschaft auf mögliche Hintertüren und sekundäre Exploits richten, die Angreifer bereits eingerichtet haben könnten.

de | wirtschaft | 69427068 |