Milioni di segreti quasi esposti: dentro l’incubo RCE di GitHub

In un altrimenti normale mattino di marzo, gli allarmi di sicurezza di GitHub hanno urlato. Nel giro di pochi minuti, gli ingegneri si sono precipitati a sezionare una vulnerabilità critica - così grave da minacciare l’esposizione dei repository privati delle più grandi organizzazioni del mondo. Quello che avrebbe potuto trasformarsi nella più catastrofica violazione SaaS degli ultimi anni è stato invece contenuto nel giro di poche ore, grazie a una risposta rapidissima e a una segnalazione dall’occhio attento dei ricercatori di sicurezza di Wiz.

La vulnerabilità, ora tracciata come CVE-2026-3854, è stata segnalata in modo riservato a GitHub il 4 marzo 2026. I ricercatori di Wiz hanno scoperto che, manipolando alcune opzioni durante un normale git push, attaccanti con permessi di push potevano iniettare valori malevoli nei metadati interni di GitHub. Questo trucco consentiva loro di aggirare le protezioni di sandboxing ed eseguire codice arbitrario sui server di GitHub - un classico scenario di esecuzione di codice da remoto (RCE).

Entro 40 minuti, il team di sicurezza di GitHub ha confermato la segnalazione; meno di due ore dopo, una correzione è stata distribuita su GitHub.com. Il difetto era particolarmente inquietante perché non colpiva solo i repository pubblici, ma anche i codebase privati appartenenti a aziende Fortune 500, progetti open source e governi in tutto il mondo - in pratica, chiunque si affidi a GitHub per proteggere la propria proprietà intellettuale.

Il ricercatore principale di Wiz, Sagi Tzadik, l’ha definita una delle vulnerabilità SaaS più gravi mai scoperte. “Milioni di repository - pubblici e privati - erano accessibili sui nodi interessati”, ha detto. Su GitHub Enterprise Server (GHES), il rischio era ancora più alto: un attacco riuscito avrebbe potuto compromettere l’intero server, esponendo tutto il codice ospitato e i segreti interni. Nonostante la correzione rapida su GitHub.com, Tzadik ha avvertito che quasi 9 istanze GHES su 10 restavano vulnerabili, poiché molte organizzazioni sono lente nell’applicare le patch di sicurezza.

Fortunatamente, un’analisi forense condotta da GitHub non ha trovato alcuna evidenza che la falla sia stata sfruttata in natura prima della divulgazione di Wiz. Tutta l’attività anomala è stata ricondotta ai test degli stessi ricercatori. Eppure, l’incidente è un monito severo sulla fragilità dell’infrastruttura cloud e sull’enorme posta in gioco della sicurezza della supply chain. In un’epoca in cui il codice è moneta, un singolo server non aggiornato avrebbe potuto significare disastro per innumerevoli aziende e utenti.

Alla fine, questo quasi-incidente mette in luce sia il valore della divulgazione responsabile sia la corsa agli armamenti incessante tra difensori e attaccanti. Per ora, il codice del mondo resta al sicuro - ma la prossima vulnerabilità potrebbe essere a un solo push di distanza.

WIKICROOK

• Esecuzione di codice da remoto (RCE): L’esecuzione di codice da remoto (RCE) si verifica quando un attaccante esegue il proprio codice sul sistema di una vittima, spesso arrivando al controllo completo o alla compromissione di quel sistema.
• Git Push: Git Push è un comando di Git che carica i commit locali su un repository remoto, consentendo la condivisione del codice e la collaborazione con altri.
• Sandboxing: Il sandboxing è un metodo per testare file o link sospetti in un ambiente sicuro e isolato, per rilevare minacce senza mettere in pericolo i sistemi reali.
• Metadati: I metadati sono informazioni nascoste associate ai file digitali, come foto o annunci, che contengono dettagli quali data di creazione, autore o dispositivo utilizzato.
• Divulgazione responsabile: La divulgazione responsabile avviene quando le falle di sicurezza vengono segnalate privatamente ai fornitori, permettendo loro di correggere i problemi prima che le informazioni diventino pubbliche.