Cybersecurity: report CERT-AGID rivela rischi AI e RCE GitHub
Scopri l'analisi CERT-AGID sulla cybersecurity: tra phishing PagoPA e rischi emergenti come RCE GitHub e vulnerabilità MCP per l'AI. Ecco cosa sapere.
Contenuto
Tra il 25 e il 30 aprile 2026, il CERT-AGID ha analizzato 138 campagne malevoli, di cui 97 con obiettivi italiani, individuando 847 indicatori di compromissione. Mentre il phishing su PagoPA e il settore banking continuano a rappresentare la quota prevalente degli attacchi nel paese, il report settimanale evidenzia minacce emergenti e più sofisticate: una vulnerabilità critica di esecuzione di codice in remoto (RCE) che interessa GitHub Enterprise Server e i rischi di proxy di rete non autorizzati tramite i nuovi Model Context Protocol (MCP) per gli LLM.
Phishing PagoPA e Banking: la costante del panorama italiano
La minaccia più persistente rilevata dal CERT-AGID rimane il phishing, che continua a colpire i cittadini italiani sfruttando brand istituzionali e finanziari. Nella sola settimana del 25-30 aprile, il tema delle "Multe" è stato sfruttato in 38 campagne di phishing che abusano del nome PagoPA, mentre il settore "Banking" ha registrato 25 campagne mirate contro clienti di PayPal, Klarna, Isybank, ING, Nexi, Intesa Sanpaolo e altri istituti. Complessivamente, sono stati coinvolti 33 brand in queste operazioni fraudolente.
Rispetto alla settimana precedente (18-24 aprile), quando il CERT-AGID aveva analizzato 130 campagne (96 italiane e 34 generiche) con 1088 IoC, si osserva una sostanziale continuità nei vettori di attacco. Le campagne bancarie e quelle legate alle multe stradali rappresentano uno schema d'attacco consolidato e redditizio per i gruppi malevoli, che riutilizzano template e infrastrutture già collaudate.
In questo contesto, sono state individuate campagne specifiche che sfruttano il logo SPID e il nome Widiba per ingannare gli utenti su una presunta apertura di conto online, e una pagina di phishing ospitata su Weebly mirata all'Università di Palermo. Secondo il CERT-AGID, il template utilizzato per l'ateneo palermitano è identico a quello già osservato in recenti campagne contro altri atenei italiani; questo suggerisce un modus operandi presumibilmente riconducibile al medesimo attore malevolo, che adatta lo stesso schema a target diversi. Nel complesso, le campagne hanno coinvolto 12 famiglie di malware che hanno interessato l'Italia nella settimana in esame.
RCE su GitHub Enterprise: il rischio di esecuzione di codice lato server
Oltre alle tradizionali campagne di frode, il report del CERT-AGID segnala una vulnerabilità critica tracciata come CVE-2026-3854 (CVSS score: 8.7), che interessa GitHub e GitHub Enterprise Server. Si tratta di un caso di iniezione di comandi che potrebbe consentire a un attaccante, dotato di accesso di push a un repository, di ottenere l'esecuzione di codice in remoto sull'istanza.
Il meccanismo tecnico alla base di questa falla sfrutta l'operazione di push. Secondo evidenze pubbliche, valori contenenti delimitatori come il punto e virgola venivano inseriti negli header interni, tra cui X-Stat, senza controlli sufficienti. Come evidenziato dal CERT-AGID, "Lo sfruttamento della falla può consentire a un attaccante di eseguire comandi lato server durante l’operazione di push, aggirando le protezioni di sicurezza". L'esecuzione avviene nel contesto dell'utente git, con l'output del comando restituito al client, confermando l'effettiva compromissione.
Un singolo "git push" malevolo esponeva così potenzialmente milioni di repository privati. La correzione per l'ambiente cloud è stata applicata da GitHub il 4 marzo 2026 e non richiede interventi da parte degli utenti. È probabile che le istanze self-hosted di GitHub Enterprise Server non ancora aggiornate siano ancora esposte a questo rischio, rendendo necessario un intervento tempestivo di patching da parte degli amministratori di sistema.
Sicurezza AI e LLM: il pericolo SSRF tramite i Model Context Protocol
L'altra frontiera delle minacce segnalata dal CERT-AGID riguarda l'intelligenza artificiale, in particolare l'architettura basata su Large Language Model (LLM) e Model Context Protocol (MCP). Il CERT-AGID ha pubblicato un'analisi su come controlli incompleti su questi protocolli possano consentire richieste di rete non autorizzate e favorire casi di vulnerabilità Server-Side Request Forgery (SSRF).
Gli MCP consentono agli LLM di interagire con fonti di dati e strumenti esterni. Tuttavia, in assenza di una rigorosa definizione dei permessi e di un isolamento delle richieste, il rischio di escalation è concreto. Il CERT-AGID sottolinea che "un MCP progettato per la consultazione possa trasformarsi in un proxy di rete". Questo suggerisce che, se un LLM viene istruito o manipolato per interrogare risorse interne o esterne non esposte, il protocollo può diventare un ponte inconsapevole per l'attaccante. È probabile che l'adozione sempre più diffusa di agenti AI agentic all'interno delle infrastrutture aziendali amplifichi la superficie di attacco, rendendo le vulnerabilità SSRF via MCP un vettore di accesso privilegiato per movimenti laterali non autorizzati nella rete interna.
Guardando al quadro più ampio dei malware, il report riepilogativo del CERT-AGID sulle tendenze del 2025 offre un contesto rilevante: su 90 famiglie malware identificate, circa il 60% rientra nella categoria degli infostealer, mentre un ulteriore 30% in quella dei RAT (Remote Access Trojan). Questa distribuzione indica una chiara preferenza degli attaccanti per strumenti finalizzati al furto di credenziali e all'accesso persistente, elementi che si combinano perfettamente con le campagne di phishing osservate nelle settimane recenti per massimizzare l'impatto sulle vittime italiane.
Domande frequenti
- Quali sono le campagne di phishing più frequenti in Italia secondo il CERT-AGID?
- Tra il 25 e il 30 aprile 2026, le campagne più frequenti sfruttano il tema delle "Multe" tramite PagoPA (38 campagne) e il settore "Banking" (25 campagne) mirando clienti di istituti come Intesa Sanpaolo, ING, Nexi e PayPal.
- Come funziona la vulnerabilità RCE CVE-2026-3854 di GitHub?
- La CVE-2026-3854 è una vulnerabilità di iniezione di comandi in GitHub e GitHub Enterprise Server. Sfruttando l'operazione di push con valori contenenti delimitatori come il punto e virgola inseriti negli header interni (es. X-Stat), un attaccante può eseguire comandi lato server aggirando le protezioni di sicurezza.
- Quali rischi di sicurezza comportano i Model Context Protocol (MCP) per gli LLM?
- Il CERT-AGID evidenzia che controlli incompleti sui MCP possono permettere richieste di rete non autorizzate e vulnerabilità SSRF. Un MCP di consultazione potrebbe trasformarsi in un proxy di rete, permettendo all'LLM di interagire con risorse interne o esterne in modo non autorizzato.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://cert-agid.gov.it/news/github-e-github-enterprise-server-vulnerabilita-rce-cve-2026-3854/
- https://www.matricedigitale.it/2026/04/29/github-cve-2026-3854/
- https://cert-agid.gov.it/news/report-riepilogativo-sulle-tendenze-delle-campagne-malevole-analizzate-dal-cert-agid-nel-2025/
- https://thehackernews.com/2026/04/researchers-discover-critical-github.html