Юзер remote и права super без пароля. Убедитесь, что ваш репозиторий в Perforce не попал в список 6100 открытых баз
NewsMakerВсего одна неверная настройка превратила цифровые сейфы в проходной двор.
Тысячи серверов Perforce, популярной системы управления исходным кодом, годами были «открытой дверью» к самым ценным файлам компаний. В зоне риска оказались игровые студии, медтех, финансовые организации, производители автомобилей, госструктуры и другие организации, которые хранили в Helix Core код, скрипты сборки, конфигурации и внутренние материалы.
Автор исследования P4WNED изучил более 6100 публично доступных экземпляров Perforce и нашёл массовые проблемы, связанные с небезопасными настройками по умолчанию. По данным отчёта, 72% проверенных серверов позволяли читать внутренние файлы, 21% давали возможность получить доступ на чтение и запись, а около 4% содержали незащищённые учётные записи с правами super . В последнем случае злоумышленник мог получить полный контроль над системой, выполняя произвольные команды на сервере.
Главная проблема связана не с одной ошибкой в коде, а с набором настроек, которые долгое время предоставляли неавторизованным пользователям чрезмерно широкие возможности. В стандартной конфигурации Perforce мог автоматически создавать учётные записи, показывать список пользователей, допускать учётные записи без пароля и разрешать пользователям самостоятельно устанавливать первый пароль.
До версии 2025.1 отдельную угрозу создавал служебный пользователь remote, который при слабом уровне защиты позволял читать репозитории через механизм удалённых хранилищ без обычной аутентификации.
Тысячи серверов Perforce, популярной системы управления исходным кодом, годами были «открытой дверью» к самым ценным файлам компаний. В зоне риска оказались игровые студии, медтех, финансовые организации, производители автомобилей, госструктуры и другие организации, которые хранили в Helix Core код, скрипты сборки, конфигурации и внутренние материалы.
Автор исследования P4WNED изучил более 6100 публично доступных экземпляров Perforce и нашёл массовые проблемы, связанные с небезопасными настройками по умолчанию. По данным отчёта, 72% проверенных серверов позволяли читать внутренние файлы, 21% давали возможность получить доступ на чтение и запись, а около 4% содержали незащищённые учётные записи с правами super . В последнем случае злоумышленник мог получить полный контроль над системой, выполняя произвольные команды на сервере.
Главная проблема связана не с одной ошибкой в коде, а с набором настроек, которые долгое время предоставляли неавторизованным пользователям чрезмерно широкие возможности. В стандартной конфигурации Perforce мог автоматически создавать учётные записи, показывать список пользователей, допускать учётные записи без пароля и разрешать пользователям самостоятельно устанавливать первый пароль.
До версии 2025.1 отдельную угрозу создавал служебный пользователь remote, который при слабом уровне защиты позволял читать репозитории через механизм удалённых хранилищ без обычной аутентификации.