Sommario
Un RCE (Remote Code Execution) è un tipo di attacco informatico che consente a un aggressore di eseguire codice arbitrario su un sistema bersaglio da remoto. In pratica, sfruttando una vulnerabilità software, il cybercriminale può lanciare comandi o programmi maligni sul dispositivo vittima senza autorizzazione. Questo avviene spesso acquisendo gli stessi privilegi del processo vulnerabile.
Ciò può dare all’attaccante un controllo pressoché completo del sistema compromesso. Ad esempio, una recente falla di command injection nei firewall Palo Alto (CVE-2024-3400) consentiva l’esecuzione di codice con privilegi di root, permettendo di prendere il controllo totale dei dispositivi colpiti (Zero-Day PAN-OS di Palo Alto Networks: rischio e COSA FARE – Matrice Digitale).
Attacchi RCE sono dunque tra i più pericolosi, poiché permettono di installare malware, rubare dati o destabilizzare servizi eseguendo comandi malevoli direttamente sul sistema della vittima.
Vulnerabilità comuni sfruttate per l’esecuzione di codice remoto
Sono diverse le vulnerabilità che tipicamente vengono sfruttate per ottenere RCE. Una delle più comuni è il buffer overflow, in cui un programma scrive dati oltre i limiti di un buffer di memoria. Questo sovrascrive parti critiche e inietta codice eseguibile.
Ad esempio, in sistemi Ivanti è stato segnalato un buffer overflow critico (CVE-2025-22467) che consente l’esecuzione remota di codice con privilegi elevati (Vulnerabilità critiche su Ivanti, YouTube e buffer overflow nel mirino della CISA e dell’FBI – Matrice Digitale).
Un’altra categoria frequente sono le vulnerabilità di injection, dove input non validati permettono di eseguire comandi o codice arbitrario. Un caso recente riguarda i firewall Palo Alto: una falla zero-day di injection comandi in PAN-OS permetteva a un attaccante remoto di eseguire codice con privilegi amministrativi sul dispositivo.
Anche bug che consentono scrittura arbitraria di file possono condurre a RCE. Se un aggressore può caricare o modificare file eseguibili sul sistema, può inserire un proprio payload. Nel caso Ivanti sopra citato, oltre al buffer overflow erano presenti falle che permettevano di scrivere file arbitrari e una vulnerabilità di code injection in grado di offrire il controllo remoto del dispositivo agli attaccanti.
Problemi di directory traversal rientrano in questa categoria. Nello studio su Quick Share, i ricercatori hanno trovato una falla di traversal che consente di uscire dalla cartella prevista e potenzialmente eseguire codice malevolo sul sistema della vittima.
Casi di studio e attacchi RCE documentati su Matrice Digitale
Matrice Digitale ha riportato diversi casi di attacchi RCE, evidenziando come questi exploit avvengano sia in scenari di ricerca sia in attacchi reali:
- Catena di exploit “Quick Share” (2023) – Uno studio di SafeBreach ha scoperto dieci vulnerabilità nell’app di file-sharing Quick Share (Samsung/Google) che, combinate in sequenza, permettono un attacco RCE. Ad esempio, forzando da remoto la connessione della vittima a una Wi-Fi controllata dall’attaccante e sfruttando una falla di scrittura di file, un aggressore può distribuire malware ed eseguirlo sul PC bersaglio (Vulnerabilità in Quick Share avvia catena di attacchi RCE – Matrice Digitale) (Vulnerabilità in Quick Share avvia catena di attacchi RCE – Matrice Digitale). Google ha riconosciuto il problema e rilasciato patch (assegnando due CVE dedicati) per correggere queste falle (Vulnerabilità in Quick Share avvia catena di attacchi RCE – Matrice Digitale), evidenziando come anche vulnerabilità minori concatenate possano avere un impatto grave.
- Attacco a Microsoft SharePoint (2023) – CISA ha lanciato un allarme su una vulnerabilità critica in Microsoft SharePoint (CVE-2023-24955) che consente a un utente autenticato con privilegi di Site Owner di eseguire codice a distanza sul server. Un’altra falla correlata (CVE-2023-29357) permetteva di ottenere privilegi amministrativi su SharePoint bypassando l’autenticazione tramite token JWT falsificati. Combinando le due vulnerabilità, aggressori anche non autenticati potevano compromettere completamente server SharePoint non aggiornati, eseguendo codice remoto con diritti elevati (CISA vulnerabilità in SharePoint e Apple rilascia aggiornamenti di sicurezza – Matrice Digitale). Un proof-of-concept pubblico per CVE-2023-29357 è apparso su GitHub, rendendo questa catena di attacco ancor più accessibile; di conseguenza CISA ha inserito entrambe le CVE nel catalogo delle vulnerabilità sfruttate attivamente ed ordinato alle agenzie federali USA di applicare le patch entro scadenze stringenti (CISA vulnerabilità in SharePoint e Apple rilascia aggiornamenti di sicurezza – Matrice Digitale).
- Exploits su prodotti Microsoft (2024) – Microsoft ha denunciato campagne attive che sfruttavano falle RCE nei propri prodotti enterprise e di produttività. In un caso, hacker hanno abusato di oltre 3.000 machine key ASP.NET trapelate online per modificare il ViewState delle applicazioni Web Forms e iniettare codice malevolo, ottenendo l’esecuzione remota sul server IIS bersaglio (Microsoft: sfruttate vulnerabilità in ASP.NET e Outlook per diffondere malware – Matrice Digitale). Questo approccio è stato usato per distribuire Godzilla, un trojan post-sfruttamento che permette di eseguire comandi malevoli e mantenere l’accesso sui server compromessi (Microsoft: sfruttate vulnerabilità in ASP.NET e Outlook per diffondere malware – Matrice Digitale). Parallelamente, una grave vulnerabilità in Microsoft Outlook (CVE-2024-21413) è stata sfruttata in attacchi reali: tramite email appositamente confezionate (link
file://nascosti), gli aggressori potevano eseguire un payload sul computer della vittima appena questa visualizzava l’anteprima del messaggio, senza bisogno di alcun clic (Microsoft: sfruttate vulnerabilità in ASP.NET e Outlook per diffondere malware – Matrice Digitale). Questo exploit di Outlook – che bypassa la protezione Vista Protetta – dimostra come le RCE possano colpire anche utenti finali attraverso client di posta, oltre che i server aziendali.
Le autorità invitano a non procrastinare. CISA e FBI hanno recentemente aggiunto nuove falle RCE al catalogo di quelle attivamente sfruttate, esortando aziende e enti ad applicare le patch senza ritardi.
Tecniche di mitigazione e protezione raccomandate
Data la gravità delle RCE, è fondamentale adottare misure di mitigazione e difesa efficaci su più livelli. Di seguito alcune tecniche chiave consigliate negli articoli di Matrice Digitale:
- Applicare tempestivamente le patch di sicurezza – La prima linea di difesa consiste nel mantenere sistemi e software sempre aggiornati con le ultime correzioni. I fornitori rilasciano spesso aggiornamenti urgenti per sanare falle di esecuzione remota appena scoperte. Ad esempio, Cisco ha distribuito aggiornamenti software gratuiti per correggere vulnerabilità critiche (REST API e RCE) nei suoi Nexus Dashboard (Cisco Nexus Dashboard: vulnerabilità REST API, RCE – Matrice Digitale), e Broadcom/Ivanti hanno risolto bug di RCE nei prodotti VMware vCenter Server e Endpoint Manager esortando le organizzazioni ad aggiornare immediatamente i sistemi non patchati per evitare compromissioni (rce – Pagina 2 – Matrice Digitale). Le autorità invitano a non procrastinare: CISA e FBI hanno recentemente aggiunto nuove falle RCE al catalogo di quelle attivamente sfruttate, esortando aziende e enti ad applicare le patch senza ritardi (Vulnerabilità critiche su Ivanti, YouTube e buffer overflow nel mirino della CISA e dell’FBI – Matrice Digitale). Mantenere un rigoroso patch management riduce drasticamente la finestra in cui gli attacker possono colpire.
- Adottare configurazioni sicure e principi di secure coding – Molti exploit RCE sono prevenibili correggendo configurazioni deboli o seguendo buone pratiche di sviluppo. Microsoft, ad esempio, raccomanda (nel caso delle chiavi ASP.NET esposte) di generare le chiavi macchina in modo sicuro invece di utilizzare esempi pubblici, di aggiornare le applicazioni all’ultima versione del framework (.NET 4.8 in quel caso) e di criptare le chiavi sensibili (così come le stringhe di connessione) nei file di configurazione (Microsoft: sfruttate vulnerabilità in ASP.NET e Outlook per diffondere malware – Matrice Digitale). Allo stesso modo, è importante sanificare sempre gli input esterni e limitare le operazioni pericolose: implementare whitelist/blacklist di parametri ammessi, evitare di chiamare comandi di sistema con input non validato e rimuovere o proteggere account/chiavi di default. Queste misure riducono la superficie d’attacco sfruttabile per eseguire codice arbitrario.
- Limitare le funzionalità esposte e applicare workaround temporanei – In attesa di una patch risolutiva per una nuova vulnerabilità RCE, può essere necessario disabilitare funzionalità a rischio o applicare workaround di mitigazione. Ad esempio, per il citato zero-day di Palo Alto PAN-OS (CVE-2024-3400), l’azienda ha consigliato agli amministratori di disattivare temporaneamente la telemetria sui gateway GlobalProtect (funzione coinvolta nel bug) se non potevano applicare subito gli aggiornamenti, oppure di attivare specifiche protezioni IPS tramite il servizio Threat Prevention (Zero-Day PAN-OS di Palo Alto Networks: rischio e COSA FARE – Matrice Digitale). Limitare o isolare i componenti vulnerabili – ad esempio togliendo temporaneamente dalla rete un servizio affetto o restringendone l’accesso – aiuta a prevenire exploit fino alla distribuzione di una correzione ufficiale.
- Monitoraggio e difesa proattiva – Implementare sistemi di monitoraggio può aiutare a individuare tentativi di RCE in corso. È utile analizzare i log e il traffico di rete alla ricerca di pattern anomali o indicatori noti di exploit. Nel caso .NET, ad esempio, Microsoft ha suggerito di controllare il traffico per individuare payload malevoli nel ViewState (Microsoft: sfruttate vulnerabilità in ASP.NET e Outlook per diffondere malware – Matrice Digitale). Analogamente, dopo l’ondata di attacchi Log4Shell, molti enti hanno introdotto scansioni dei log alla ricerca di stringhe JNDI sospette nelle richieste. Strumenti di sicurezza come web application firewall (WAF) o sistemi IPS/IDS possono bloccare exploit noti – nel contesto Spring4Shell, ad esempio, soluzioni come Contrast Security sono state impiegate per identificare e fermare i tentativi di attacco in tempo reale (Spring4Shell: la nuova vulnerabilità che interessa Java e fa paura quanto Log4Shell – Matrice Digitale). In generale, una postura di sicurezza proattiva unita a test periodici di penetrazione aiutano a scoprire e mitigare vulnerabilità prima che possano essere sfruttate.
Exploit famosi, patch di sicurezza e consigli finali
Negli ultimi anni si sono verificati exploit RCE famigerati che hanno messo in luce l’importanza di queste misure di sicurezza. Uno dei più noti è Log4Shell – la vulnerabilità zero-day rivelata a dicembre 2021 nella libreria di logging Apache Log4j2.
Questa falla, identificata come CVE-2021-44228, si è distinta per la sua portata globale: essendo Java il terzo linguaggio più usato al mondo, la libreria Log4j è integrata in un numero enorme di applicazioni (stimati 15 miliardi di dispositivi Java in esecuzione) (Log4Shell: resta un 35% di vulnerabilità ancora non risolta – Matrice Digitale).
Log4Shell era estremamente facile da sfruttare (bastava far registrare al sistema una speciale stringa malevola perché avviasse una chiamata JNDI a un server dell’attaccante) ma difficile da individuare all’interno delle applicazioni, mettendo “centinaia di milioni” di servizi e dispositivi a serio rischio (Log4Shell: resta un 35% di vulnerabilità ancora non risolta – Matrice Digitale).
Jen Easterly, direttrice di CISA, ha descritto Log4Shell come la vulnerabilità più grave mai vista, avvertendo che la sua completa mitigazione potrebbe richiedere anni e diversi metodi di rilevamento. Nonostante le patch urgenti di Apache e i controlli di sicurezza, a distanza di mesi circa il 35% dei sistemi risultava ancora vulnerabile, evidenziando l’importanza di applicare tempestivamente le patch e monitorare attivamente i sistemi anche dopo gli aggiornamenti.
Un altro exploit RCE degno di nota è Spring4Shell (2022), che ha colpito il popolare framework Java Spring Core. In questo caso un difetto emerso in Spring (in concomitanza con Java 9) ha permesso ad attori malintenzionati di creare un proof-of-concept pubblico in grado di portare all’esecuzione di codice da remoto (Spring4Shell: la nuova vulnerabilità che interessa Java e fa paura quanto Log4Shell – Matrice Digitale).
La vulnerabilità, paragonata per impatto a Log4Shell, ha spaventato la comunità Java poiché molte applicazioni enterprise usano Spring. Fortunatamente, il problema è stato affrontato rapidamente: il team Spring e la comunità di sicurezza hanno rilasciato patch e fornito linee guida per mitigare il rischio, ad esempio raccomandando di aggiornare Spring all’ultima versione e di implementare filtri sui parametri per bloccare quelli pericolosi (come classLoader e simili) (Spring4Shell: la nuova vulnerabilità che interessa Java e fa paura quanto Log4Shell – Matrice Digitale). Questo rapido intervento ha limitato gli abusi di Spring4Shell, dimostrando l’efficacia di una risposta coordinata tra vendor e security researcher di fronte a nuove falle RCE.
In conclusione, gli attacchi RCE rappresentano una minaccia elevata e concreta sia per utenti che per aziende. I casi sopra citati – da Log4Shell ai recenti exploit su Outlook e firewall – evidenziano l’importanza di mantenere alta la guardia.
Aggiornare regolarmente tutti i sistemi, applicare immediatamente le patch di sicurezza critiche, e seguire i bollettini ufficiali (ad es. quelli CISA o dei vendor) sono azioni imprescindibili. Allo stesso tempo, occorre rafforzare le difese interne.
