Git sotto attacco: vulnerabilità consente Remote Code Execution ed è già sfruttata dai cyber criminali

Git è il sistema di controllo versione distribuito più utilizzato al mondo, sviluppato originariamente da Linus Torvalds per la gestione del kernel Linux. La sua funzione principale è permettere a sviluppatori, team e aziende di tracciare ogni modifica al codice sorgente, collaborare in maniera asincrona e gestire in sicurezza l’evoluzione di un progetto software.

A differenza dei sistemi centralizzati, Git lavora in modalità distribuita: ogni copia di un repository contiene l’intera cronologia, consentendo di lavorare offline, eseguire branching e merging in modo flessibile, riducendo gli errori.

Origine della vulnerabilità scoperta in Git

La vulnerabilità CVE-2025-48384 è particolarmente grave perché colpisce proprio il meccanismo di configurazione interna di Git. Una falla in questo livello può permettere a un attaccante non solo di compromettere la workstation di uno sviluppatore, ma anche di inserirsi nella supply chain ossia nella catena distributiva del software. Non si tratta soltanto di un problema per i singoli utenti, ma di una minaccia sistemica per l’intero ecosistema di sviluppo.

Secondo i ricercatori di Datadog, il problema nasce da una discrepanza nel modo con cui Git gestisce i valori di configurazione contenenti caratteri di controllo. In particolare, durante la scrittura delle configurazioni, Git conserva alcuni caratteri come il carriage return (\r) mentre durante la lettura gli stessi caratteri sono ignorati.

Questa asimmetria apre la strada a scenari di abuso. Un attaccante può inserire in un file .gitmodules un percorso manipolato con caratteri di controllo. Attraverso l’uso di particolari layout o di link simbolici, l’attaccante può indurre Git a scrivere configurazioni arbitrarie. Il risultato: esecuzione di codice remoto (RCE) ogni volta che l’utente inovca comandi comuni come git commit e git merge.

Dalla teoria all’exploit

La falla è stata resa pubblica l’8 luglio 2025, contestualmente al rilascio delle versioni correttive di Git: v2.50.1, v2.49.1, v2.48.2, v2.47.3, v2.46.4, v2.45.4, v2.44.4 e v2.43.7.

A pochi giorni dalla disponibilità delle release esenti dal problema di sicurezza, i ricercatori hanno individuato e validato proof-of-concept (PoC) funzionanti già diffusi in rete, segno che il bug è stato rapidamente compreso e adattato dai criminali informatici.

L’exploit risulta particolarmente pericoloso per due motivi:

• Bassa complessità: creare un repository Git malevolo è sufficiente per attivare l’esecuzione di codice al momento di una semplice operazione di clonazione (git clone).
• Impatto sulla riservatezza: oltre alla falla RCE, la vulnerabilità consente la riscrittura dei file di configurazione Git e il reindirizzamento delle attività di commit e push, aprendo la strada a furti di proprietà intellettuale come codice sorgente riservato, il tutto senza che la vittima possa minimamente insospettirsi.

Mitigazioni e raccomandazioni

Gli esperti consigliano di aggiornare immediatamente Git a una delle versioni sopra elencate. È altresì cruciale verificare che i sistemi di build e automazione (CI/CD) non facciano uso di release vulnerabili.

È inoltre bene evitare di clonare repository non affidabili o contenenti submodule annidati senza opportune verifiche; nonché monitorare gli endpoint per attività Git sospette, come esecuzioni non autorizzate di hook o configurazioni alterate.

Negli USA, CISA ossia l’agenzia federale responsabile per la sicurezza informatica e delle infrastrutture, ha disposto che tutti gli enti governativi aggiornino Git entro e non oltre il 15 settembre 2025. È proprio un requisito normativo.

Per gli utenti macOS, un’ulteriore criticità è legata al fatto che i Command Line Tools di Xcode includono versioni di Git che non si aggiornano automaticamente: è quindi necessario un intervento manuale.