Drupali koodis leiti ohtlik turvaauk, veebilehed vajavad kiiret uuendamist

20. mail pandi veebiarenduse maailmas tööle oluline häirekell. Kuigi Drupali sisuhaldust kasutavaid kodulehti on palju vähem kui WordPressiga lehti, tuli selle platvormi kasutajatel kiiresti tegutseda, mille kohta saatis igale domeeniomanikule hoiatuse ka riiklik CERT-EE keskus.

Mis siis juhtus? Vaatame ilma liigse tehnilise žargoonita, mida see turvaauk ohustab ja mida peaks kohe tegema.

Ootamatult avanenud tagauks

Turvaekspert Michael Maturi avastas Drupali koodist vea, mis sai ametlikuks tähiseks CVE-2026-9082. Veebiturvalisuse riskiskaalal anti sellele hindeks lausa 20 punkti 25-st, mis tähendab "väga kriitilist" ohtu.

Milles probleem seisneb?

Lihtsustatult öeldes kasutab Drupal spetsiaalset vahekihti (andmebaasi abstraktsiooni API-t), mis peaks toimima nagu range turvamees – selle ülesanne on puhastada kõik andmebaasi poole teele pandud päringud ja blokeerida pahatahtlikud käsud.

Paraku leiti sellest kaitsest möödapääs. See võimaldab ründajal saata spetsiaalselt koostatud päringu otse andmebaasi ehk viia läbi niinimetatud SQL-süstimise (SQL injection).

Kõige murettekitavam on asjaolu, et ründajal pole selleks vaja isegi kasutajanime ega parooli. Ohtu on hinnatud selliselt, et ligipääsu keerukus on nullilähedane. Eduka rünnaku korral võib kurjategija varastada kliendiandmeid ja paroole, muuta kodulehe sisu, tõsta oma õigusi süsteemis või halvimal juhul võtta kogu serveri juhtimine täielikult üle (kaugkäivituskoodi ehk remote code execution´i abil).

Tegemist oli nii kiireloomulise turvaparandusega, et Drupal soovitas kasutajatel olla paranduse väljatuleku hetkeks valmis, sest siis võib vea ärakasutamiseni jõuda pahatahtlik ründaja juba minutite või tundidega.

Kas see puudutab ainult suuremaid firmasid?

Eelpool kirjeldatud andmebaasirünnak ohustab otseselt ainult neid veebilehti, mis kasutavad PostgreSQL andmebaasi. Kuna PostgreSQL on tuntud oma jõudluse poolest, kasutavad seda sageli just suuremad ettevõtted, valitsusportaalid, ülikoolid ja meediaväljaanded.

Paljud väiksemad veebilehed kasutavad pigem MySQL või MariaDB andmebaase.

Kuid asjal on teinegi, märksa laiem külg.

Peidetud oht, mis ei vali andmebaasi

Drupali meeskond ei paiganud eilse uuendusega ainult seda ühte konkreetset andmebaasiviga. Uuendusega pandi kaasa ka turvapaigad Symfony ja Twig´i nimelistele komponentidele, millele Drupal tugevalt toetub.

Need lisauuendused puudutavad kõiki Drupali lehti, sõltumata sellest, millist andmebaasi kasutatakse. Drupali arendajad hoiatavad, et sõltuvalt sinu lehe seadistustest võid sa olla haavatav just nende komponentide kaudu. Eriti tähelepanelik tasub olla selle osas, millistele kasutajarollidele on antud õigus muuta Twig malle (näiteks läbi Views´i või muude lisamoodulite).

Riiklik küberkaitse soovitab kiiret tegutsemist

Olukorra tõsidust näitas ka see, et Riigi Infosüsteemi Ameti intsidentide lahendamise osakond CERT-EE saatis juba 20. mail Eesti veebiomanikele ja teenusepakkujatele laiali ametliku hoiatuse. Nende sõnum oli selge: süsteemide konfidentsiaalsus ja terviklus on ohus.

Kuna Drupali turvameeskond andis erakordselt juba kaks päeva enne paranduste avaldamist eelhoiatuse, siis oligi oodata, et küberkurjategijad loovad ründeprogrammid tundide jooksul. Seetõttu soovitas CERT-EE tungivalt uuendused paigaldada esimesel võimalusel. Kui seda pole võimalik kohe teha, tasuks kaaluda veebilehe ajutist hooldusrežiimi (maintenance mode) viimist, kuni paigaldustööd on tehtud.

Sammud turvalisuse taastamiseks

Kui sul on oma IT-partner või veebihaldur, on aeg talle helistada või kirjutada. Uuendada tuleb kõik aktiivselt toetatud Drupali versioonid:

• Drupal 11 kasutajad peaksid liikuma versioonile 11.3.10, 11.2.12 või 11.1.10.
  Drupal 10 kasutajad vajavad versiooni 10.6.9, 10.5.10 või 10.4.10.

Mis saab siis, kui sinu leht jookseb ikka veel vana, ametliku toeta jäänud Drupal 8 või 9 peal? Olukorra kriitilisuse tõttu on tehtud erand ja loodud turvapaigad ka neile vanadele versioonidele. Siiski tuleb meeles pidada, et need paigad on välja antud ilma igasuguste garantiideta ja vanad süsteemid jäävad paratamatult haavatavaks teistele, varasematele turvaaukudele. Parim pikaajaline lahendus on planeerida üleminek uuele Drupal 11 versioonile.

Tasub mainida, et lehed, mis kasutavad Drupali spetsiaalset kaitseteenust (Drupal Steward), on hetkel teadaolevate rünnakute eest kaitstud, kuid peaksid sellegipoolest esimesel võimalusel oma süsteemid uuendama, juhuks kui kurjategijad leiavad uusi ründeteid.