ProxyCommand: la piccola stringa che apre una porta per gli exploit

Antonio Piazzolla : 13 Ottobre 2025 08:01

Nella giornata di ieri è stata pubblicata CVE-2025-61984 una falla in OpenSSH, che permette potenzialmente l’esecuzione di comandi sul client quando ProxyCommand viene usato con nomi utente contenenti caratteri di controllo (per esempio newline).

Alcuni flussi di input in OpenSSH non eliminavano correttamente caratteri di controllo inseriti nei nomi utente. Un attaccante può sfruttare questo comportamento costruendo un nome utente contenente, ad esempio, un newline seguito da una stringa che dovrebbe essere interpretata come comando.

Quando quel nome utente viene inserito nella stringa invocata dal ProxyCommand, alcune shell non si fermano all’errore di sintassi introdotto dal newline e continuano l’esecuzione: la riga successiva può quindi essere eseguita come payload. In sostanza: una piccola sequenza di caratteri malevoli, combinata con una shell permissiva e una certa configurazione SSH, può trasformarsi in RCE.

Perché un submodule Git è pericoloso

Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference.  Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.  Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.  Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

GIT può rivelarsi  insidioso perché sfrutta azioni ordinarie degli sviluppatori. Un repository può includere un submodule il cui URL SSH è stato costruito per contenere un nome utente manipolato. Quando qualcuno esegue:  git clone –recursive

Git prova a recuperare anche i submodule via SSH — ed è in quel momento che il client esegue il ProxyCommand configurato localmente. In determinate condizioni, l’intera catena porta all’esecuzione del payload.

L’exploit infatti  non si attiva “da solo”. Per funzionare servono due precise condizioni sul sistema della vittima:

1. Shell permissiva: la shell invocata dal ProxyCommand deve continuare l’esecuzione dopo un errore di sintassi (comportamento tipico di Bash, Fish, csh)
2. ProxyCommand vulnerabile: il file ~/.ssh/config dell’utente deve contenere un ProxyCommand che include il token %r (il nome utente remoto) senza adeguata protezione — ad esempio %r non deve essere correttamente quotato o sanitizzato.

Se entrambe le condizioni si verificano, il nome utente manipolato può essere interpolato nella stringa invocata dal proxy e far partire comandi non voluti.

Implicazioni pratiche

• Sviluppatori e sistemi automatizzati che effettuano clone ricorsivi rappresentano un bersaglio sensibile perché il vettore sfrutta operazioni di routine.
• Strumenti che generano automaticamente ~/.ssh/config e inseriscono %r senza protezioni amplificano il rischio
• La presenza di proof-of-concept pubblici rende la situazione urgente: aumenta la probabilità che qualcuno automatizzi lo sfruttamento su larga scala.

PoC pubblici — cosa mostrano e perché preoccuparsi (informazione non actionabile)

Negli ultimi giorni sono circolati proof-of-concept che spiegano chiaramente la catena d’attacco, ma senza fornire istruzioni pratiche per sfruttarla. Questi PoC mostrano lo scenario tipico: un nome utente contenente caratteri di controllo che viene interpolato nel ProxyCommand, e una shell permissiva che finisce per eseguire la riga successiva. Molti PoC usano come dimostrazione esattamente il caso del submodule Git perché rende evidente il rischio supply-chain: un repository compromesso può raggiungere facilmente sviluppatori e pipeline automatizzate.

Il valore operativo dei PoC non è insegnare come sfruttare, ma mettere in evidenza dove concentrare le verifiche. Tuttavia, la loro pubblicazione riduce il tempo che gli attaccanti impiegherebbero per sviluppare exploit automatici, dunque la finestra per intervenire è breve.
La falla viene risolta aggiornando OpenSSH alla versione 10.1, attività da effettuare quanto prima

Antonio Piazzolla
Responsabile IT Infrastructure & Security con oltre 20 anni di esperienza in ambienti enterprise complessi. In Casillo Group si occupa di continuità operativa, sicurezza e innovazione. Certificato Microsoft, VMware, Cisco e ITIL.

Lista degli articoli