Система управления исходным кодом Perforce (Helix Core) десятилетиями помогает компаниям хранить критически важные данные: код, скрипты сборки, конфигурации, игровые ресурсы, CAD‑проекты, прошивки и многое другое. Однако из‑за небезопасных настроек по умолчанию тысячи серверов оказались уязвимы — их репозитории стали доступны посторонним. Разберёмся, в чём суть проблемы, какие риски она несёт и как защитить свои данные.
Исследователь P4WNED проанализировал более 6 100 публично доступных экземпляров Perforce и выявил серьёзные уязвимости, вызванные стандартными настройками системы. Результаты оказались тревожными:
72 % серверов позволяли читать внутренние файлы без авторизации — злоумышленник мог просматривать исходный код, конфигурации и другие конфиденциальные данные;
21 % давали доступ на чтение и запись — это позволяло не только изучать, но и изменять файлы, внедряя вредоносный код;
около 4 % содержали незащищённые учётные записи с правами super — полный контроль над сервером, включая выполнение произвольных команд.
Проблема не сводилась к одной ошибке в коде — она затрагивала целый набор настроек, которые по умолчанию предоставляли неавторизованным пользователям слишком широкие возможности:
автоматическое создание учётных записей;
отображение списка пользователей;
учётные записи без пароля;
возможность самостоятельно устанавливать первый пароль.
Особую опасность до версии 2025.1 представлял служебный пользователь remote. При слабом уровне защиты он позволял:
читать репозитории через механизм удалённых хранилищ;
получать доступ без стандартной аутентификации.
Уязвимость затронула организации из самых разных сфер:
игровые студии (исходный код игр, игровые ассеты);
медицинские компании (проекты ПО для диагностики и лечения);
финансовые организации (банковские приложения, платёжные системы);
автопроизводителей (прошивки для электроники, CAD‑модели);
государственные структуры (конфиденциальные документы, системы управления);
DevOps‑команды (скрипты сборки, конфигурационные файлы).
Среди потенциально раскрытых данных встречались:
исходные тексты игр;
инструменты сборки;
материалы для промышленных систем;
компоненты банковского ПО;
файлы автомобильной электроники;
сертификаты и ключи шифрования.
Компания получила результаты исследования весной 2025 года. В мае был выпущен P4 Server 2025.1, где:
служебный пользователь remote отключён по умолчанию — теперь для доступа требуется явная авторизация;
обновлена документация по безопасной настройке — добавлены чёткие инструкции для администраторов;
опубликованы отдельные рекомендации по укреплению серверов P4.
Важно: на момент публикации отчёта CVE для небезопасных настроек по умолчанию присвоен не был — это означает, что проблема не классифицирована как классическая уязвимость, но остаётся крайне опасной из‑за широкого распространения.
Администраторам рекомендуется выполнить следующие действия:
Обновите сервер до актуальной версии (2025.1 или новее).
Поднимите уровень безопасности (security level) до 4 — это активирует строгие правила аутентификации и авторизации.
Отключите автоматическое создание пользователей — исключите риск появления незащищённых учётных записей.
Запретите самостоятельную установку первого пароля — контролируйте процесс инициализации учётных записей.
Скройте лишнюю служебную информацию — ограничьте видимость метаданных о сервере.
Закройте просмотр списка пользователей без авторизации — предотвратите сбор данных атакующими.
Проверьте не только публичные, но и внутренние серверы — те же настройки могут дать злоумышленникам прямой доступ к исходному коду после проникновения в корпоративную сеть.
Проведите аудит текущих прав доступа — убедитесь, что роли super и remote используются только по необходимости и защищены надёжными паролями.
Настройте мониторинг подозрительной активности — отслеживайте попытки неавторизованного доступа и аномальные запросы к репозиториям.
Обучите сотрудников правилам безопасности — расскажите о рисках использования слабых паролей и важности своевременного обновления ПО.
Автор исследования подчёркивает: в ходе проверки он не скачивал и не изменял клиентские данные. Его цель заключалась в выявлении уязвимостей по спискам файлов и уведомлении пострадавших организаций. Это позволило оперативно принять меры без нанесения ущерба компаниям.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь
Компания Microsoft выпустила срочное обновление для устранения серьёзной уязвимости в платформе ASP.NET Core. Проблема могла позволить злоумышленникам повысить свои привилегии в системе — вплоть до получения прав уровня SYSTEM. Разберёмся, в чём суть угрозы и кому она грозит.
Эксперты по кибербезопасности обнаружили серьёзную уязвимость в экосистеме инструментов разработки. В официальном репозитории Docker Hub (checkmarx/kics) появились заражённые образы — злоумышленники сумели подменить существующие теги и внедрить опасный код. Разберём ситуацию подробно.
Исследователи в области кибербезопасности обнаружили и помогли устранить серьёзную уязвимость в интегрированной среде разработки (IDE) Antigravity от Google. Проблема позволяла злоумышленникам выполнять произвольный код — но уже закрыта разработчиками. Разберёмся, в чём была суть угрозы и какие уроки можно извлечь.