พบการโจมตีช่องโหว่ SQL Injection ระดับวิกฤต (CVE-2026-9082) ในระบบจัดการเนื้อหา Drupal

280/69 (IT) ประจำวันจันทร์ที่ 25 พฤษภาคม 2569

เมื่อวันที่ 20 พฤษภาคม 2569 ระบบจัดการเนื้อหาเว็บไซต์ Drupal ได้ออกแพตช์แก้ไขช่องโหว่ความรุนแรงระดับวิกฤต รหัส CVE-2026-9082 ซึ่งเป็นช่องโหว่ประเภท SQL Injection อย่างไรก็ตาม ภายในเวลาไม่ถึง 48 ชั่วโมงหลังจากที่มีการปล่อยแพตช์รักษาความมั่นคงปลอดภัย มีรายงานการตรวจพบผู้ไม่หวังดีเริ่มดำเนินการโจมตีผ่านช่องโหว่ดังกล่าวในวงกว้าง โดยพุ่งเป้าไปที่เว็บไซต์ที่ใช้งาน Drupal ร่วมกับระบบฐานข้อมูล PostgreSQL การโจมตีนี้เปิดโอกาสให้ผู้ไม่หวังดีสามารถเข้าถึงและควบคุมระบบได้โดยไม่จำเป็นต้องผ่านการยืนยันตัวตน เหตุการณ์นี้มีความสำคัญอย่างยิ่งเนื่องจากมีเว็บไซต์ของหน่วยงานระดับองค์กร สถาบันการศึกษา และสื่อมวลชนจำนวนมากที่อาจตกเป็นเป้าหมายและได้รับผลกระทบโดยตรง

รายละเอียดของช่องโหว่นี้เกิดจากความผิดพลาดในระบบ API ที่มีหน้าที่คัดกรองคำสั่งฐานข้อมูล ส่งผลให้ผู้โจมตีสามารถส่งคำสั่งที่ถูกปรับแต่งเป็นพิเศษเพื่อแทรกแซงและประมวลผลคำสั่ง SQL บนระบบฐานข้อมูล PostgreSQL ได้ ผลกระทบที่เกิดขึ้นครอบคลุมตั้งแต่การถูกเปิดเผยข้อมูลสำคัญ การยกระดับสิทธิ์ ไปจนถึงการรันโค้ดจากระยะไกล ข้อมูลเบื้องต้นจากผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยระบุว่าพบความพยายามในการโจมตีแล้วกว่า 15,000 ครั้งใน 65 ประเทศ โดยกว่าครึ่งหนึ่งมุ่งเป้าไปที่อุตสาหกรรมเกมและบริการทางการเงิน ข้อมูลสถิติจากภาพประกอบยังชี้ให้เห็นว่าประเทศที่ตกเป็นเป้าหมายการโจมตีสูงสุด 5 อันดับแรก ได้แก่ สหรัฐอเมริกาในสัดส่วนร้อยละ 61.8 ตามมาด้วยสิงคโปร์ร้อยละ 6.6 ออสเตรเลียร้อยละ 6.3 ฝรั่งเศสร้อยละ 4.9 และสเปนร้อยละ 4.3 ซึ่งพฤติกรรมการโจมตีในขณะนี้ยังคงอยู่ในระยะของการสำรวจระบบที่อ่อนแอ ก่อนที่จะพัฒนารูปแบบไปสู่การขโมยข้อมูลในขั้นต่อไป    

เพื่อเป็นการลดความเสี่ยงและป้องกันความเสียหาย ผู้ดูแลระบบที่ใช้งานเว็บไซต์ Drupal ร่วมกับฐานข้อมูล PostgreSQL ควรดำเนินการอัปเดตแพตช์ความมั่นคงปลอดภัยล่าสุดในทันที สำหรับระบบที่ใช้งานฐานข้อมูลอื่นเช่น MySQL หรือ MariaDB จะไม่ได้รับผลกระทบจากช่องโหว่นี้ แต่ผู้ดูแลระบบควรตรวจสอบเพื่อยืนยันชนิดของฐานข้อมูลที่ใช้งานอย่างแน่ชัด นอกจากนี้ ควรเพิ่มการเฝ้าระวังและตรวจสอบพฤติกรรมที่ผิดปกติในระบบจัดเก็บข้อมูลจราจรคอมพิวเตอร์ (Log) เช่น รูปแบบคำสั่งฐานข้อมูลที่ต้องสงสัยหรือความพยายามในการเข้าสู่ระบบที่ล้มเหลว หากพบความผิดปกติควรดำเนินการสืบสวนในทันที เนื่องจากระยะเวลาในการป้องกันก่อนที่ผู้โจมตีจะยกระดับจากการสำรวจไปสู่การเจาะระบบเพื่อขโมยข้อมูลนั้นมีอย่างจำกัด

แหล่งข่าว https://securityaffairs.com/192557/security/cve-2026-9082-drupals-highly-critical-sql-injection-flaw-is-already-under-active-attack.html