CISA: Drupal CVE-2026-9082 nel KEV, scadenza 27 maggio

CISA inserisce la SQL injection di Drupal Core nel catalogo KEV. Oltre 15.000 attacchi in 48 ore, scadenza patch per le agenzie federali il 27 maggio 2026.

Contenuto

CISA: Drupal CVE-2026-9082 nel KEV, scadenza 27 maggio
CISA: Drupal CVE-2026-9082 nel KEV, scadenza 27 maggio

CISA ha aggiunto la vulnerabilità SQL injection CVE-2026-9082 di Drupal Core al catalogo Known Exploited Vulnerabilities (KEV) il 22 maggio 2026. L'agenzia federale ha fissato al 27 maggio 2026 la scadenza per l'applicazione delle patch alle agenzie della Federal Civilian Executive Branch (FCEB), confermando che la falla è già sfruttata attivamente in the wild.

I dati rilevati da Imperva parlano di oltre 15.000 tentativi di attacco contro quasi 6.000 siti individuali in 65 paesi entro 48 ore dal rilascio delle patch il 20 maggio. L'aggiornamento dell'advisory Drupal del 22 maggio ha confermato che exploit attempts sono rilevati in the wild, mentre Drupal 7 risulta esplicitamente non affetto dalla vulnerabilità.

Punti chiave
  • CISA ha inserito CVE-2026-9082 nel KEV con deadline FCEB al 27 maggio 2026, sulla base di evidenze di exploitation attiva
  • La falla è una SQL injection nell'API di astrazione del database di Drupal Core, con potenziale escalation a RCE; Drupal 7 non è interessato
  • Imperva ha rilevato oltre 15.000 attacchi contro quasi 6.000 siti in 65 paesi nelle 48 ore successive al rilascio delle patch
  • L'attività osservata è dominata da probing mirato verso configurazioni PostgreSQL-backed, con gaming e financial services come bersagli principali

Dal rilascio delle patch al mass-scanning globale in meno di 48 ore

Le patch per CVE-2026-9082 sono state rilasciate il 20 maggio 2026 per tutti i branch supportati di Drupal Core. Nel giro di due giorni, l'attività di exploitation ha già superato la soglia di rilevamento massiccio. Imperva ha documentato oltre 15.000 tentativi di attacco contro quasi 6.000 siti individuali distribuiti in 65 paesi, con una concentrazione significativa su settori gaming e servizi finanziari che da soli rappresentano collettivamente quasi il 50% degli attacchi.

La velocità della transizione da patch disponibile a exploitation attiva di massa è l'elemento che distingue questo incidente. Il Drupal Security Team aveva già avvertito il 19 maggio che gli exploit potrebbero essere sviluppati entro ore o giorni. La previsione si è rivelata conservativa: il tempo effettivo è stato misurato in ore, non in giorni, e la campagna ha raggiunto una scala globale prima che molte organizzazioni potessero pianificare il downtime per l'aggiornamento.

Il meccanismo tecnico: SQL injection con potenziale di escalation

Secondo quanto riportato da CISA, "Drupal Core contains a SQL injection vulnerability that could allow for privilege escalation and remote code execution via specially crafted requests sent with the database abstraction API". Il punteggio CVSS assegnato è 6,5. La criticità operativa supera la metrica puramente numerica perché Drupal è uno dei CMS più diffusi nell'ecosistema web enterprise e government, e l'API di astrazione del database è un componente core esposto alle richieste esterne.

L'attività osservata da Imperva mostra un pattern preciso. Gli attaccanti stanno sondando attivamente per identificare siti con backend PostgreSQL. Questo suggerisce che la comunità di threat actor ha già mappato le condizioni per una chain di exploitation affidabile, concentrando gli sforzi su una configurazione specifica del target anziché agire in modo indiscriminato.

"Attacks are primarily targeting gaming and financial services sites so far, at collectively almost 50% of all attacks" — Imperva, riportato da The Hacker News

Il perimetro della campagna e i target geografici

I quasi 6.000 siti presi di mira in 65 paesi indicano una campagna di mass-scanning globale, non regionale. La distribuzione geografica non è stata dettagliata per area, ma la scala suggerisce l'uso di infrastrutture in grado di sondare reti distribuite su larga scala. Il focus su PostgreSQL-backed sites è particolarmente rilevante: Drupal supporta multiple configurazioni database, e la selezione di questo specifico backend indica che gli attaccanti stanno concentrando gli sforzi su una configurazione precisa.

Il settore gaming e i servizi finanziari emergono come target principali. Entrambi i verticali combinano alto traffico, superficie d'attacco estesa e dati utente monetizzabili, rendendoli appetibili per operazioni che mirino a data exfiltration, defacement o pivoting verso infrastrutture di pagamento. Non è quantificato nei rapporti disponibili quanti siti abbiano subito compromissione effettiva rispetto al solo sondaggio: la distinzione tra scanning e exploitation riuscita rimane un limite nei dati pubblicati.

Cosa fare adesso

Per le amministrazioni e le organizzazioni che gestiscono istanze Drupal, le azioni immediate sono le seguenti:

  • Verificare la versione e applicare le patch entro il 27 maggio 2026 per le agenzie FCEB, che operano sotto la compliance KEV. Per il settore privato, non resta alcuna finestra di grazia dalla disponibilità della patch.
  • Isolare o monitorare con priorità i sistemi PostgreSQL-backed, dato che l'attività di threat intelligence indica questa configurazione come bersaglio principale della campagna attiva.
  • Rivedere i log delle richieste all'API di astrazione del database nel periodo 20-26 maggio 2026 per identificare pattern di scanning o tentativi di injection sospetti. Gli attacchi osservati sono iniziati entro 48 ore dal rilascio delle patch.
  • Validare che le istanze Drupal 7 siano effettivamente non interessate, come confermato dal Drupal Security Team, evitando patch non necessarie ma verificando l'accuratezza dell'inventario asset.

Perché la velocità di exploitation cambia il calcolo del rischio

L'incidente CVE-2026-9082 ripropone una dinamica ormai strutturale nel threat landscape: l'intervallo tra il rilascio delle patch e l'exploitation massiva si è contratto a un punto dove le organizzazioni con cicli di aggiornamento settimanali o mensili operano già in condizioni di vulnerabilità confermata. La soglia delle 48 ore non è più l'eccezione per vulnerabilità di classe CMS, ma sta diventando la norma per threat actor con capacità di reazione rapida e accesso a risorse distribuite.

Il dato di Imperva — oltre 15.000 attacchi in due giorni — misura la dimensione della minaccia, ma il dato qualitativo è altrettanto significativo: il targeting selettivo di backend PostgreSQL indica maturità operativa, non opportunismo casuale. Gli attaccanti stanno investendo risorse in scouting tecnico preliminare, il che alza il livello di pericolo per le organizzazioni che non hanno visibilità realtime sulla propria superficie d'attacco.

Per CISA, l'inserimento nel KEV con scadenza al 27 maggio 2026 riflette una valutazione di rischio che considera l'exploitation attiva come già strutturata, non emergente. La distanza tra raccomandazione e realtà operativa, per molte organizzazioni, si misura nelle ore di sleep tra il rilascio della patch e l'inizio del turno di sistemistica. Il breve lasso di tempo disponibile evidenzia quanto sia critica la riduzione dei tempi di remediation per i sistemi esposti.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

Link utili

Apri l'articolo su DeafNews