未受保护的 Perforce 服务器暴露主要组织的敏感数据

一位研究人员分析了面向互联网的Perforce P4服务器，发现其中许多仍配置不当，暴露了高度敏感信息。

Perforce P4（前身为Helix Core）是一个集中式版本控制平台，旨在满足AAA级游戏和半导体设计等行业的海量数据需求。虽然P4发挥着重要作用，但如果未加保护，它对威胁行为者可能极具价值。

澳大利亚安全研究员摩根·罗伯逊在2025年春季对暴露在互联网上的Perforce服务器进行了一项分析，发现了6122个实例。

在这些服务器中，72%通过一个默认启用的远程用户账户，提供了对源代码的未经认证的只读访问。此外，21%的实例至少有一个账户未设置密码，从而允许直接的读写访问。

罗伯逊当时还发现，4%的服务器存在一个未受保护的"超级用户"账户，可通过命令注入实现完全的系统入侵。

研究人员还发现，绝大多数系统默认允许用户枚举并暴露服务器信息。

罗伯逊表示，一些未受保护的系统属于AAA级和独立游戏开发商、大学、动画工作室、互动媒体公司、加密货币项目以及制造商。

研究员于周二公布了他的发现，并告诉SecurityWeek，在最初发现的6122个公共服务器中，仍有2826个在其原始IP地址上处于活跃状态。

其中，1525个（约占54%）仍然允许通过远程用户账户对源代码进行未经认证的只读访问。此外，501个实例（占活跃服务器的17%）仍然允许完全未经认证的用户枚举。

罗伯逊告诉SecurityWeek，一些受影响的服务器似乎属于大型组织，包括一家地区性国防承包商、几家医疗技术提供商、一家北美执法软件供应商、一家国际工业自动化公司、一家北美商用电动汽车初创公司、一家亚洲零售POS和ERP软件供应商，以及一家银行软件制造商。

与这些公司相关的服务器暴露了高度敏感的信息，包括客户信息、内部项目、个人信息、凭证、源代码和产品原理图。

研究员指出，他分享的数字仅反映公开暴露的基础设施。

"大量Perforce服务器严格部署在内网，但采用了完全相同的不安全默认设置，"罗伯逊解释道。"这意味着任何恶意行为者、内部威胁或红队，只要在企业网络上获得立足点，就可能有一条直接路径来访问关键知识产权，或通过这些系统提升权限。"

大约一年前，Perforce公司收到了这些发现的通知，并迅速采取行动，默认禁用了远程用户，并更新了其文档以增强安全性。

"P4受到全球一些最具安全意识团队的信任，用于管理和保护他们最有价值的知识产权：源代码和二进制资产。然而，与任何先进系统一样，其有效性在很大程度上依赖于正确的配置和维护，"Perforce在2025年5月的一篇博客文章中说。

文章补充道："任何处于宽松状态的服务器，随着时间的推移都可能造成安全卫生方面的疏漏，并带来重大风险。与任何连接到互联网的服务器一样，您应该假设您的P4服务器最终会被攻击者测试。"

除了通知Perforce公司，罗伯逊还联系了60多家受影响组织，警告他们存在暴露风险。