RCE e Iniezioni di Comando: Rischi Perniciosi per la PA e Infrastrutture Critiche, Ora

La recente ondata di bollettini di sicurezza evidenzia una preoccupante persistenza di vulnerabilità critiche che permettono la Remote Code Execution (RCE) e l'iniezione di comandi. Questo pattern ricorrente, che interessa sia soluzioni di sviluppo pervasive come GitHub che infrastrutture di rete e middleware aziendali come Ivanti Pulse Connect Secure e Oracle Fusion Middleware, presenta un rischio sistemico significativo per le organizzazioni italiane, in particolare per la Pubblica Amministrazione e le infrastrutture critiche.

Cosa è successo

Abbiamo analizzato diversi bollettini che puntano a vulnerabilità di gravità elevata. La CVE-2026-3854 in GitHub e GitHub Enterprise Server è una falla critica di RCE dovuta a una gestione impropria delle 'push options' durante le operazioni di git push. Un carattere delimitatore (;) non sanificato permette di iniettare comandi arbitrari nel flusso dei metadati interni, portando alla compromissione dei repository. Questa vulnerabilità è particolarmente insidiosa perché sfrutta un errore di fiducia tra componenti interni e colpisce sia le istanze cloud che quelle on-premise di GHES, spesso utilizzate per la gestione del codice sorgente di progetti critici.

In aggiunta, sono state richiamate dal CISA KEV (Known Exploited Vulnerabilities) due altre falle significative: la CVE-2012-3152 in Oracle Fusion Middleware e la CVE-2021-22899 in Ivanti Pulse Connect Secure. Sebbene di diversa natura, entrambe queste vulnerabilità consentono agli attaccanti di influenzare la confidenzialità e l'integrità dei sistemi o di ottenere l'esecuzione di codice arbitrario. La vulnerabilità Ivanti, in particolare, è una command injection che consente a utenti autenticati di eseguire codice da remoto tramite i profili risorse file di Windows, colpendo dispositivi comunemente usati per l'accesso remoto sicuro di utenti e partner.

Perché conta

Queste vulnerabilità non sono mere speculazioni teoriche; alcune sono state attivamente sfruttate (CISA KEV). La capacità di ottenere Remote Code Execution o Command Injection è tra gli obiettivi primari di ogni attacco avanzato, poiché consente il controllo quasi completo del sistema compromesso. Per la PA e le infrastrutture critiche italiane, ciò significa un rischio diretto di esfiltrazione di dati sensibili, interruzione di servizi essenziali, o l'utilizzo delle infrastrutture come punto di partenza per attacchi ulteriori. Le piattaforme interessate (GitHub, Ivanti, Oracle) sono pilastri digitali per molte organizzazioni, gestendo codice sorgente, accesso remoto e processi aziendali cruciali. La loro compromissione può avere effetti a cascata devastanti.

La vulnerabilità GitHub, in particolare, evidenzia un pattern preoccupante di attacchi alla supply chain del software, dove la compromissione degli strumenti di sviluppo può portare a inserire backdoor o codice malevolo direttamente nelle applicazioni prodotte, con conseguenze di vasta portata.

Impatto stimato in Italia

L'impatto sul contesto italiano è potenzialmente elevato. La Pubblica Amministrazione fa ampio uso di Oracle Fusion Middleware per la gestione di servizi e dati, e le soluzioni Ivanti Pulse Connect Secure sono diffuse per l'accesso remoto sicuro dei dipendenti e dei fornitori. Molti enti pubblici e aziende infrastrutturali utilizzano GitHub Enterprise Server per lo sviluppo interno di software o il mantenimento di progetti open source. Una compromissione tramite CVE-2026-3854 potrebbe consentire l'accesso a codice sorgente proprietario o dati sensibili, mentre le vulnerabilità in Ivanti e Oracle possono aprire le porte a interruzioni di servizio o furti di dati su larga scala. Il rischio è amplificato dalla tendenza a trascurare il patching di sistemi meno recenti, come nel caso della CVE-2012-3152 di Oracle ancora presente nel catalogo KEV a distanza di anni.

Azioni consigliate

1. Prioritizzare il Patching Immediato: Per la vulnerabilità CVE-2026-3854, aggiornare immediatamente GitHub e GitHub Enterprise Server alle versioni patched come indicato da GitHub. Per CVE-2012-3152 e CVE-2021-22899, applicare le patch fornite da Oracle e Ivanti rispettivamente, verificando le versioni minime di sicurezza.
2. Scansioni e Valutazioni: Effettuare scansioni di vulnerabilità e penetration test focalizzati sull'individuazione di istanze vulnerabili di GitHub Enterprise Server, Oracle Fusion Middleware e Ivanti Pulse Connect Secure all'interno della propria infrastruttura.
3. Monitoraggio e Logging Avanzato: Implementare o rafforzare il monitoraggio dei log di accesso e delle attività sui server GitHub, Ivanti e Oracle. Cercare anomalie o pattern di accesso insoliti che potrebbero indicare tentativi di sfruttamento o compromissioni già avvenute. Prestare particolare attenzione ai log delle operazioni git push per rilevare eventuali abusi.
4. Sicurezza della Supply Chain Software: Se si utilizza GitHub per lo sviluppo, riconsiderare e rafforzare le policy di controllo degli accessi e di revisione del codice, in particolare per i contributori esterni e i meccanismi di automazione che interagiscono con i repository.
5. Segmentazione di Rete: Isolare i sistemi critici che utilizzano queste tecnologie in segmenti di rete dedicati per limitare la propagazione di eventuali attacchi. Applicare principi di least privilege e zero trust.
6. Formazione e Awareness: Rafforzare la formazione del personale sullo sviluppo sicuro e sulle pratiche operative sicure, sottolineando i rischi legati all'iniezione di codice e all'esecuzione remota.

Riferimenti

• https://cert-agid.gov.it/news/github-e-github-enterprise-server-vulnerabilita-rce-cve-2026-3854/
• https://nvd.nist.gov/vuln/detail/CVE-2012-3152
• https://nvd.nist.gov/vuln/detail/CVE-2021-22899