RCE in ActiveMQ e Gogs: rischi GDPR per infrastrutture PA

Le vulnerabilità di esecuzione remota di codice appena integrate in Metasploit per Apache ActiveMQ e Gogs colpiscono componenti infrastrutturali ampiamente adottati nelle Pubbliche Amministrazioni italiane. Per il responsabile della protezione dei dati e il DPO, un RCE su un broker di messaggi che trasporta dati anagrafici o su un repository Git che ospita codice amministrativo non è un incidente tecnico: è una potenziale violazione dell'art. 32 GDPR e, se i dati dei cittadini risultano effettivamente compromessi, fa scattare l'obbligo di notifica all'autorità garante entro 72 ore (art. 33). La rapidità di rilevamento e patching diventa quindi un requisito di conformità, non solo di sicurezza operativa.

Art. 32 GDPR: adeguatezza delle misure tecniche sotto stress

L'art. 32 richiede misure tecniche appropriate al rischio, valutate in funzione dello stato dell'arte, dei costi e della natura dei dati. Un RCE noto e sfruttabile su ActiveMQ — componente che nelle PA fa da bus tra sistemi anagrafici tributari, registri di stato civile e piattaforme di versamento — configura un rischio che difficilmente supera il test di adeguatezza se l'istanza rimane non patchata dopo la pubblicazione dell'exploit. La documentazione della valutazione dei rischi deve riflettere la nuova superficie d'attacco e le contromisure adottate.

Art. 33 GDPR: la finestra di 72 ore e l'onere della notifica

Se l'RCE viene sfruttato e determina accesso non autorizzato a dati personali, il titolare del trattamento deve notificare il breach al Garante entro 72 ore. La capacità di accertare tempestivamente se l'exploit è stato attivato — attraverso log di broker, analisi di traffico, rilevamento di comportamento anomalo — è determinante per non trasformare un incidente contenibile in una violazione documentata in ritardo, con aggravio sanzionatorio.

Gogs e l'integrità del codice amministrativo

Gogs, usato in ambito PA come piattaforma lightweight per repository di codice che gestisce procedure amministrative, espone tramite l'RCE sulla funzionalità di rebase la possibilità di alterare sorgenti e pipeline di build. La compromissione del repository può tradursi in inserimento di backdoor nei servizi pubblici downstream, con impatto che va oltre la singola istanza e configura rischio per l'integrità e la disponibilità del trattamento.

Scope PA-DSS quando ActiveMQ trasporta dati di pagamento

Nelle architetture PA dove ActiveMQ inoltra transazioni verso gateway di pagamento o sistemi PagoPA, il broker ricade nel perimetro PA-DSS. L'RCE su un componente in scope PA-DSS richiede classificazione come finding critico, valutazione di impatto su requirement 6 (sviluppo e manutenzione di sistemi sicuri) e documentazione del piano di rimedio con scadenze esplicite.

Come PA Reviewer identifica e documentare l'esposizione

PA Reviewer rileva istanze ActiveMQ e Gogs esposte nelle reti interne PA tramite compositional analysis sul grafo delle dipendenze infrastrutturali, correla le versioni vulnerabili con il perimetro GDPR e PA-DSS dichiarato, e produce l'evidenza tecnica necessaria per aggiornare il DPIA e giustificare le priorità di patching. Il report di adeguatezza è strutturato per alimentare direttamente la documentazione richiesta dagli articoli 32 e 33.

Verificate ora se le vostre istanze ActiveMQ e Gogs sono in scope GDPR o PA-DSS e se le versioni in esercizio rientrano nelle versioni vulnerabili. PA Reviewer consente di mappare l'esposizione rispetto al perimetro di trattamento dei dati e generare l'evidenza documentale per il Garante prima che la finestra di 72 ore diventi rilevante.

---

*Photo by Albert Stoynov on Unsplash*