Юзер remote и права super без пароля. Убедитесь, что ваш репозиторий в Perforce не попал в список 6100 открытых баз

Тысячи серверов Perforce, популярной системы управления исходным кодом, годами были «открытой дверью» к самым ценным файлам компаний. В зоне риска оказались игровые студии, медтех, финансовые организации, производители автомобилей, госструктуры и другие организации, которые хранили в Helix Core код, скрипты сборки, конфигурации и внутренние материалы.

Автор исследования P4WNED изучил более 6100 публично доступных экземпляров Perforce и нашёл массовые проблемы, связанные с небезопасными настройками по умолчанию. По данным отчёта, 72% проверенных серверов позволяли читать внутренние файлы, 21% давали возможность получить доступ на чтение и запись, а около 4% содержали незащищённые учётные записи с правами super. В последнем случае злоумышленник мог получить полный контроль над системой, выполняя произвольные команды на сервере.

Главная проблема связана не с одной ошибкой в коде, а с набором настроек, которые долгое время предоставляли неавторизованным пользователям чрезмерно широкие возможности. В стандартной конфигурации Perforce мог автоматически создавать учётные записи, показывать список пользователей, допускать учётные записи без пароля и разрешать пользователям самостоятельно устанавливать первый пароль.

До версии 2025.1 отдельную угрозу создавал служебный пользователь remote, который при слабом уровне защиты позволял читать репозитории через механизм удалённых хранилищ без обычной аутентификации.

Такой доступ особенно опасен для компаний, которые используют Perforce для крупных двоичных файлов, игровых ресурсов, CAD-проектов, прошивок, финансового ПО и DevOps-инфраструктуры. В ходе проверки среди потенциально раскрытых данных встречались исходные тексты игр, инструменты сборки, материалы для промышленных систем, медицинские проекты, компоненты банковского ПО, файлы автомобильной электроники, сертификаты и ключи.

Автор отчёта подчёркивает, что при исследовании не скачивал и не изменял клиентские данные, а убеждался в наличии проблемы по спискам файлов и отправлял уведомления пострадавшим организациям.

Perforce получила информацию о результатах исследования весной 2025 года. В мае компания выпустила P4 Server 2025.1, где служебный пользователь remote отключён по умолчанию, а документация по безопасной настройке была обновлена. Позже Perforce также опубликовала отдельные рекомендации по укреплению серверов P4. При этом на момент публикации отчёта CVE для небезопасных настроек по умолчанию присвоен не был.

Администраторам Perforce рекомендуют обновить сервер до актуальной версии, поднять уровень безопасности (security level) до 4, отключить автоматическое создание пользователей, запретить самостоятельную установку первого пароля, скрыть лишнюю служебную информацию и закрыть просмотр списка пользователей без авторизации.

Отдельно авторы P4WNED советуют проверять не только публичные, но и внутренние серверы, поскольку те же настройки могут дать атакующим прямой путь к исходному коду после проникновения в корпоративную сеть.