Zero-day Gogs RCE e FortiClient EMS sotto attacco, hacker sfruttano due falle critiche

Gli attaccanti informatici stanno sfruttando attivamente due vulnerabilità ad alta criticità che colpiscono ambienti profondamente diversi ma ugualmente strategici per le organizzazioni moderne. Da una parte emerge una nuova vulnerabilità zero-day RCE nel progetto open source Gogs, una delle piattaforme Git self-hosted più diffuse tra team di sviluppo e aziende. Dall’altra, la falla CVE-2026-35616 in FortiClient Enterprise Management Server (EMS) viene utilizzata in campagne reali per distribuire il malware EKZ infostealer all’interno di infrastrutture aziendali. Entrambi i casi mostrano un elemento ormai ricorrente nel panorama della sicurezza: il tempo che separa la scoperta di una vulnerabilità dal suo sfruttamento operativo si è ridotto drasticamente. Gli attaccanti non attendono la disponibilità di exploit pubblici maturi né la diffusione di campagne su larga scala. Quando una falla consente accesso remoto, esecuzione di codice o bypass dei controlli di autenticazione, l’utilizzo offensivo può iniziare nel giro di pochi giorni. Le analisi di Rapid7, Arctic Wolf e altri osservatori del settore indicano che le due vulnerabilità stanno già alimentando attività concrete contro sistemi esposti su internet, rendendo necessarie verifiche immediate da parte di amministratori, sviluppatori e responsabili della sicurezza.

Gogs colpito da una vulnerabilità zero-day di tipo argument injection

La nuova vulnerabilità individuata in Gogs rappresenta uno dei casi più critici osservati nel mondo delle piattaforme Git self-hosted negli ultimi mesi. La falla appartiene alla categoria CWE-88 Argument Injection e interessa le versioni supportate del software su Linux, Windows e macOS, inclusi i rami più recenti del progetto. Il problema è stato individuato dal ricercatore Jonah Burgess di Rapid7, che ha notificato la vulnerabilità agli sviluppatori nel marzo 2026. Nonostante la conferma della ricezione della segnalazione, al momento delle osservazioni pubbliche non risultava ancora disponibile una correzione definitiva. Questa situazione lascia migliaia di installazioni potenzialmente vulnerabili a un attacco che richiede privilegi estremamente limitati. Uno degli aspetti più preoccupanti è infatti la semplicità della catena di sfruttamento. In molte configurazioni standard, Gogs consente la registrazione di nuovi utenti e la creazione di repository senza particolari restrizioni. Questa caratteristica, pensata per favorire l’usabilità e la collaborazione, si trasforma in una superficie di attacco significativa quando una vulnerabilità permette di trasformare privilegi minimi in esecuzione di codice remoto sul server.

Come funziona l’exploit RCE contro i repository Gogs

La catena di attacco sfrutta il meccanismo di gestione delle pull request e in particolare l’opzione rebase merging. Un utente autenticato può creare un repository o ottenere accesso in scrittura a uno esistente. Successivamente genera un branch con un nome costruito appositamente per includere parametri malevoli. Quando il processo di rebase viene eseguito, il branch name viene passato a git rebase senza una validazione sufficiente. L’utilizzo del parametro –exec consente quindi l’esecuzione di comandi arbitrari sul server che ospita Gogs. Il risultato finale è una vera e propria Remote Code Execution, eseguita con i privilegi dell’utente che gestisce il processo applicativo. L’attacco non richiede la collaborazione di altri utenti e non necessita di privilegi amministrativi. Questa caratteristica aumenta notevolmente la pericolosità della vulnerabilità, perché un semplice account con diritti limitati può trasformarsi in un punto di compromissione dell’intera piattaforma. Rapid7 ha già sviluppato un modulo Metasploit in grado di automatizzare l’intera catena di sfruttamento, dimostrando la fattibilità dell’attacco sia in ambienti Linux sia Windows.

Gli hacker puntano ai repository privati e ai segreti aziendali

Una volta ottenuta l’esecuzione di codice sul server, gli attaccanti possono accedere a una quantità enorme di informazioni sensibili. Le istanze Gogs ospitano frequentemente codice proprietario, repository privati, configurazioni di infrastruttura, token di accesso, credenziali applicative e chiavi SSH utilizzate nei processi di sviluppo. Gli attaccanti possono esfiltrare password hash, API token, segreti di autenticazione a due fattori e informazioni utilizzabili per movimenti laterali all’interno della rete aziendale. Il rischio non si limita al furto di dati. La compromissione di una piattaforma Git permette anche la modifica del codice sorgente. Un threat actor può introdurre backdoor nei progetti software, alterare pipeline CI/CD o compromettere aggiornamenti distribuiti successivamente agli utenti finali. Il punteggio CVSS 9.4 assegnato alla vulnerabilità riflette proprio questa capacità di trasformare un singolo account limitato in un punto di controllo dell’intera infrastruttura di sviluppo. Secondo i dati raccolti da Shadowserver e da motori di ricerca specializzati come Shodan, migliaia di istanze Gogs risultano esposte pubblicamente e potrebbero essere raggiungibili dagli attaccanti senza particolari ostacoli.

FortiClient EMS colpito dalla CVE-2026-35616

Parallelamente alle attività contro Gogs, un’altra campagna di attacco sta sfruttando una vulnerabilità critica che interessa FortiClient Enterprise Management Server, la piattaforma utilizzata per gestire centralmente gli endpoint protetti da Fortinet. La vulnerabilità identificata come CVE-2026-35616 interessa le versioni 7.4.5 e 7.4.6 e consente un authentication bypass attraverso il quale un attaccante remoto può ottenere accesso a funzionalità amministrative senza possedere credenziali valide. La falla deriva da un problema di controllo degli accessi nelle API esposte dal server EMS. Un aggressore può inviare richieste appositamente costruite e sfruttare endpoint che dovrebbero essere disponibili esclusivamente ad amministratori autenticati. Da questa posizione può modificare configurazioni, distribuire policy malevole e intervenire direttamente sui dispositivi gestiti. La vulnerabilità è particolarmente critica perché interessa una piattaforma che, per definizione, possiede visibilità e controllo su numerosi endpoint aziendali. Compromettere il server EMS significa acquisire una posizione privilegiata da cui distribuire payload, modificare impostazioni di sicurezza e influenzare il comportamento dei client FortiClient collegati.

EKZ infostealer sfrutta la gestione centralizzata degli endpoint

Le campagne osservate da Arctic Wolf mostrano come gli attaccanti stiano utilizzando la vulnerabilità per distribuire il malware EKZ infostealer, una famiglia malevola relativamente nuova ma già estremamente efficace. Dopo aver ottenuto accesso alle funzionalità amministrative del server EMS, gli aggressori modificano i profili di accesso remoto e inseriscono script dannosi nelle configurazioni distribuite ai client. Quando gli endpoint stabiliscono connessioni VPN o ricevono aggiornamenti di configurazione, il malware viene eseguito automaticamente attraverso processi apparentemente legittimi. EKZ è progettato per raccogliere una vasta gamma di informazioni sensibili. Il malware estrae credenziali memorizzate nei browser basati su Chromium, recupera dati da Firefox, raccoglie cookie di autenticazione, informazioni finanziarie, dati personali e altri elementi che possono essere successivamente monetizzati o utilizzati per ulteriori compromissioni. Particolarmente preoccupante è la capacità del malware di aggirare meccanismi che proteggono credenziali cifrate e sessioni persistenti. Questo consente agli attaccanti di ottenere accesso a servizi protetti anche quando gli utenti utilizzano forme di autenticazione avanzata.

Attacchi reali confermati contro infrastrutture Fortinet

L’aspetto più allarmante della CVE-2026-35616 è che il suo sfruttamento non appartiene più al campo teorico. Fortinet ha confermato attività malevole già nei primi mesi del 2026 e diverse organizzazioni di monitoraggio hanno osservato compromissioni reali. La gravità della situazione ha spinto la CISA a richiedere alle agenzie federali statunitensi l’applicazione urgente degli aggiornamenti correttivi disponibili. Gli indicatori di compromissione includono modifiche inattese alle configurazioni EMS, aggiornamenti anomali dei certificati, connessioni provenienti da infrastrutture VPS o reti Tor e attività sospette legate ai profili VPN. Gli amministratori devono monitorare con particolare attenzione i log che riportano errori di certificazione seguiti da cambiamenti nelle policy distribuite agli endpoint. In molte compromissioni osservate, gli attaccanti hanno utilizzato il controllo ottenuto sul server EMS come trampolino per espandere ulteriormente la presenza nella rete, trasformando una vulnerabilità applicativa in una compromissione completa dell’ambiente aziendale.

Sviluppatori e team IT diventano bersagli prioritari

Le due vulnerabilità condividono una caratteristica fondamentale: colpiscono piattaforme utilizzate da utenti con privilegi elevati e accesso a informazioni strategiche. Nel caso di Gogs, il bersaglio è il ciclo di sviluppo software. Nel caso di FortiClient EMS, l’obiettivo è l’infrastruttura di gestione degli endpoint. In entrambi gli scenari, il successo dell’attacco può fornire accesso a credenziali, repository, configurazioni di rete, certificati e altri asset fondamentali. I threat actor stanno dimostrando un interesse crescente verso strumenti che tradizionalmente non venivano considerati bersagli primari. I server Git self-hosted e le piattaforme di gestione della sicurezza rappresentano oggi obiettivi ad altissimo valore, perché consentono di compromettere contemporaneamente più sistemi e più utenti. Questo cambiamento riflette l’evoluzione delle strategie offensive moderne, sempre più orientate a colpire i punti di aggregazione delle informazioni piuttosto che i singoli endpoint.

Mitigazioni urgenti per Gogs e FortiClient EMS

Le organizzazioni che utilizzano Gogs devono intervenire immediatamente riducendo la superficie di attacco disponibile. È consigliabile disabilitare la registrazione aperta, limitare la creazione di nuovi repository e verificare tutte le configurazioni che consentono operazioni di rebase merging. Le istanze esposte pubblicamente dovrebbero essere protette tramite VPN o controlli di accesso più restrittivi fino alla disponibilità di una patch ufficiale. Per FortiClient EMS, la priorità assoluta consiste nell’applicazione degli hotfix rilasciati da Fortinet. Gli amministratori devono inoltre eseguire audit approfonditi delle configurazioni distribuite agli endpoint, verificare la presenza di modifiche sospette e monitorare eventuali segnali associati alla distribuzione di EKZ infostealer. In entrambi i casi, il principio di least privilege, la segmentazione della rete e il monitoraggio continuo rappresentano strumenti fondamentali per limitare l’impatto di eventuali compromissioni.

Due vulnerabilità che confermano l’accelerazione del cybercrime

Le campagne che sfruttano il nuovo zero-day Gogs RCE e la CVE-2026-35616 in FortiClient EMS mostrano con chiarezza la rapidità con cui le vulnerabilità vengono trasformate in strumenti operativi da parte dei threat actor. I criminali informatici non attendono più lunghi cicli di sviluppo degli exploit e concentrano i propri sforzi su piattaforme capaci di offrire accesso privilegiato a dati, codice e infrastrutture aziendali. Per le organizzazioni, la finestra temporale utile per reagire continua a ridursi. Monitoraggio costante, applicazione tempestiva delle patch, revisione delle configurazioni e controllo degli accessi diventano elementi essenziali per impedire che una singola vulnerabilità si trasformi nella porta d’ingresso verso una compromissione molto più ampia. In un contesto dove server Git e piattaforme di gestione endpoint sono ormai obiettivi privilegiati, la velocità di risposta rappresenta spesso la differenza tra un tentativo di attacco e una violazione completa dell’infrastruttura.