Drupal-Lücke CVE-2026-9082: CISA erzwingt Patch bis 27. Mai

Sicherheitsbehörden und IT-Forscher schlagen Alarm: Eine koordinierte Angriffswelle erschüttert derzeit die globale Web-Infrastruktur. Betroffen sind hunderte Organisationen – von Elite-Universitäten bis zu Finanzinstituten.

CISA erzwingt Dringlichkeits-Patch für Drupal-Sicherheitslücke

Die US-amerikanische Cybersicherheitsbehörde CISA hat Bundesbehörden per Anordnung verpflichtet, eine kritische Schwachstelle im Content-Management-System Drupal umgehend zu schließen. Die als CVE-2026-9082 registrierte SQL-Injection-Lücke betrifft speziell Installationen mit PostgreSQL-Datenbanken. Die Frist läuft: Bis zum 27. Mai 2026 müssen alle betroffenen Systeme gepatcht sein.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen – ein kostenloses E-Book zeigt, welche neuen Bedrohungen auf Sie zukommen und wie Sie sich ohne großes Budget schützen. IT-Sicherheits-E-Book jetzt kostenlos herunterladen

Entdeckt wurde die Schwachstelle von Forschern bei Google und Mandiant. Besonders brisant: Angreifer können sie ohne jede Authentifizierung ausnutzen. Die Folgen reichen von Informationsdiebstahl über Rechteausweitung bis hin zur vollständigen Übernahme des Servers (Remote Code Execution, RCE).

Das Ausmaß der Attacken ist gewaltig. Laut Telemetriedaten des Sicherheitsunternehmens Imperva wurden bereits über 15.000 Angriffsversuche auf mehr als 6.000 Websites in 65 Ländern registriert. Besonders im Visier: die Gaming- und Finanzdienstleistungsbranche.

Doch viele Betreiber sitzen die Gefahr aus. Daten von Shadowserver zeigen: Mindestens 670 ungepatchte Drupal-Installationen waren in den letzten Tagen weiterhin online erreichbar. Die Drupal-Entwickler reagierten mit einem ungewöhnlichen Schritt: Sie veröffentlichten Sicherheitsupdates selbst für längst nicht mehr unterstützte Versionen – ein klares Zeichen für die Schwere der Bedrohung. Es ist bereits das fünfte Mal, dass CISA eine Drupal-spezifische Lücke in seinen Katalog aktiv ausgenutzter Schwachstellen aufgenommen hat.

Ghost-CMS-Angriff: Harvard, Oxford und DuckDuckGo betroffen

Parallel dazu läuft eine massive Kampagne gegen das Ghost CMS, eine Plattform, die besonders bei Medien und Technologieunternehmen beliebt ist. Ausgenutzt wird CVE-2026-26980 – eine SQL-Injection-Schwachstelle mit einem CVSS-Score von 9,4 (von 10). Betroffen sind Ghost-Versionen von 3.24.0 bis 6.19.0.

Die Bilanz ist alarmierend: Über 700 Domains wurden bereits kompromittiert. Darunter Websites von Harvard und Oxford sowie die datenschutzorientierte Suchmaschine DuckDuckGo. Die Angreifer gehen dabei mehrstufig vor: Zunächst stehlen sie über die SQL-Lücke administrative API-Schlüssel. Dann injizieren sie schädliches JavaScript, um eine Social-Engineering-Kampagne namens „ClickFix" zu starten.

Besucher der gekaperten Seiten sehen plötzlich gefälschte Overlays – etwa angebliche Cloudflare-Verifikationen oder CAPTCHA-Abfragen. Die Masche: Nutzer werden aufgefordert, einen Code in ihre Windows-Eingabeaufforderung (PowerShell) zu kopieren. Was dann passiert, ist die Installation von Schadsoftware wie der Datei „UtilifySetup.exe".

Diese 7 psychologischen Schwachstellen Ihrer Mitarbeiter nutzen Hacker gnadenlos aus – ein neuer Gratis-Report enthüllt die aktuellen Methoden der Cyberkriminellen und wie man sie effektiv entlarvt. Kostenloses Anti-Phishing-Paket anfordern

Obwohl ein Patch für Ghost seit Version 6.19.1 (veröffentlicht am 19. Februar 2026) verfügbar ist, haben offenbar viele Administratoren noch nicht reagiert. Sicherheitsexperten fordern nicht nur das Einspielen des Updates, sondern auch die Rotation aller API-Schlüssel und eine gründliche Prüfung der Systemlogs.

Supply-Chain-Attacken und Zero-Day in Lernplattformen

Die Bedrohungslage beschränkt sich nicht auf klassische Web-CMS. Auch spezialisierte Software und Entwicklungsumgebungen sind im Visier. Bereits Anfang des Jahres wurde eine kritische Zero-Day-Lücke in KnowledgeDeliver ausgenutzt – einem Learning-Management-System, das in Japan weit verbreitet ist. Die Schwachstelle CVE-2026-5426 beruhte auf hartcodierten ASP.NET-MachineKeys, die Angreifern eine unbeabsichtigte Codeausführung ermöglichten.

Laut Mandiant nutzten Angreifer diese Lücke bis zum 24. Februar 2026, um Hintertüren und Malware zu installieren – darunter die Webshell Godzilla (auch als BLUEBEAM bekannt) und Cobalt Strike BEACON. Die Schadsoftware war oft spezifisch für das jeweilige Zielunternehmen verschlüsselt.

Besonders besorgniserregend: die jüngsten Angriffe auf die Software-Lieferkette. Am 25. Mai entdeckten Forscher die Kampagne „TrapDoor" – 384 bösartige Paketversionen in den Repositories npm, PyPI und Crates.io. Getarnt als nützliche Werkzeuge wie „eth-security-auditor" oder „prompt-engineering-toolkit", stahlen sie Kryptowährungs-Wallets, SSH-Schlüssel und Cloud-Zugangsdaten. Die Angreifer zielten sogar auf KI-gestützte Codierungstools, indem sie Konfigurationsdateien wie .cursorrules und CLAUDE.md manipulierten.

Weitere Vorfälle dieser Woche:

• SAP npm-Pakete: Vier offizielle SAP-Pakete wie @cap-js/sqlite und @cap-js/postgres wurden manipuliert. Sie enthielten bösartige Preinstall-Skripte, die Entwickler-Zugangsdaten und Tokens stehlen.
• Laravel-Framework: Ein Supply-Chain-Angriff auf die Laravel-Lang-GitHub-Organisation traf über 5.561 Repositories. Angreifer überschrieben Git-Tags, um kennwortstehlenden Code einzuschleusen – und umgingen damit traditionelle Sicherheitsmaßnahmen.
• SharePoint Server: Microsoft schloss im Mai 2026 mit CVE-2026-45659 eine kritische RCE-Lücke in SharePoint Server (Editionen 2016, 2019 und Subscription). Der Exploit erfordert zwar eine Authentifizierung, läuft aber ohne Benutzerinteraktion ab.

Analyse: Warum die Angriffswelle besonders gefährlich ist

Die aktuelle Entwicklung zeigt einen Strategiewechsel der Angreifer. Statt einfacher Datendiebstähle setzen sie zunehmend auf „ClickFix"-Social-Engineering, um die Lücke zwischen Webserver-Kompromittierung und Endgeräte-Infektion zu schließen. Indem sie das Vertrauen in etablierte Institutionen wie Universitäten ausnutzen, umgehen sie viele traditionelle Browser-Sicherheitswarnungen.

Die wiederkehrende SQL-Injection in PostgreSQL-basierten Systemen – sowohl bei Drupal als auch Ghost – deutet auf einen neuen Fokus auf Datenbank-Schwachstellen hin, die ohne vorherige Anmeldedaten eine vollständige Systemübernahme ermöglichen. Die Geschwindigkeit, mit der Angreifer von der Veröffentlichung einer Schwachstelle zur großflächigen automatisierten Suche übergehen, lässt Organisationen nur ein extrem schmales Zeitfenster für Gegenmaßnahmen.

Immerhin: Die Strafverfolgungsbehörden schlagen zurück. Am 18. Mai 2026 nahmen niederländische Ermittler zwei Personen fest, die mutmaßlich „bulletproof" Hosting-Dienste betrieben. Über Firmen wie WorkTitans sollen russische Hackergruppen EU-Sanktionen umgangen und Cyberangriffe gestartet haben. Die Beschlagnahmung von über 800 Servern in Amsterdam und Den Haag ist ein schwerer Schlag – hat die CMS-Kampagnen aber bislang nicht verlangsamt.

Ausblick: Was Unternehmen jetzt tun müssen

Mit Ablauf der CISA-Frist am 27. Mai steht die gesamte Branche unter Druck, ihre veraltete Web-Infrastruktur zu sichern. Die Vielzahl ungepatchter Ghost-Installationen und die anhaltenden Supply-Chain-Risiken im PHP- und JavaScript-Ökosystem deuten darauf hin, dass automatisierte Angriffe die dominierende Bedrohung für den Rest des Jahres bleiben werden.

Experten raten zu einem Stufenplan, der über einfaches Patchen hinausgeht:

• Content Security Policies (CSP) implementieren, um die Injektion schädlicher Skripte zu verhindern – genau wie bei den ClickFix-Kampagnen gesehen.
• Strenge Prüfung von Drittanbieter-Abhängigkeiten in Entwicklungsumgebungen.
• Rotation aller API-Schlüssel und Überwachung nicht authentifizierter Anfragen an datenbankgebundene Komponenten.
• Regelmäßige Integritätsprüfung von Konfigurationsdateien – besonders nach den Angriffen auf KI-Coding-Assistenten.

de | wissenschaft | 69424412 |