研究者がインターネットに公開されているPerforce P4サーバを分析し、多くのサーバが依然として誤った設定のままで、極度に機密性の高い情報が公開されていることを発見しました。
Perforce P4(旧称Helix Core)は、AAA ゲームや半導体設計など、大規模なデータ要件を処理するために構築された集中型バージョン管理プラットフォームです。P4は重要な役割を果たしていますが、保護されていない場合は脅威行為者にとって価値があります。
オーストラリアのセキュリティ研究者Morgan Robertsonは、2025年春にインターネットに公開されているPerforcサーバの分析を実施し、6,122のインスタンスを発見しました。
これらのサーバのうち72%は、デフォルトで有効にされていたリモートユーザーアカウント経由でソースコードへの認証なしの読み取り専用アクセスを提供していました。さらに、インスタンスの21%は、パスワードが設定されていない少なくとも1つのアカウントを持っており、直接的な読み書きアクセスが可能でした。
Robertsonはまた、当時サーバの4%が保護されていない「スーパーユーザー」アカウントを持っており、コマンドインジェクション経由での完全なシステム侵害を可能にしていることを発見しました。
研究者はまた、システムの大多数がユーザー列挙を許可し、デフォルトでサーバ情報を公開していることを発見しました。
Robertsonは、保護されていないシステムの一部がAAA およびインディーゲーム開発者、大学、アニメーションスタジオ、インタラクティブメディア企業、暗号プロジェクト、および製造業者に属していると述べました。
研究者は火曜日に彼の調査結果を公開し、SecurityWeekに対して、最初に発見された6,122の公開サーバのうち2,826が引き続き元のIPアドレスでアクティブであると述べました。
このうち1,525は、およそ54%を占めており、引き続きリモートユーザーアカウント経由でソースコードへの認証なしの読み取り専用アクセスを許可しています。さらに、アクティブなサーバの17%である501インスタンスは、完全に認証されていないユーザー列挙を許可し続けています。
RobertsonはSecurityWeekに対して、影響を受けた一部のサーバが地域防衛業者、複数の医療技術プロバイダー、北米の法執行ソフトウェアベンダー、国際産業オートメーション企業、北米の商用EV スタートアップ、アジア小売POS およびERPソフトウェアベンダー、および銀行向けソフトウェアメーカーを含む大企業に属しているようだと述べました。
これらの企業に関連するサーバは、クライアント情報、内部プロジェクト、個人情報、認証情報、ソースコード、および製品図面を含む極度に機密性の高い情報を公開していました。
研究者は、彼が共有した数字は公開されているインフラのみを反映していることに注目しました。
「Perforcサーバの相当な数は内部ネットワーク上に厳密に存在していますが、まったく同じ不安全なデフォルト設定で展開されています」とRobertsonは説明しました。「これは、企業ネットワークに足がかりを得た悪質なアクター、インサイダー脅威、または赤チームが、これらのシステム経由で重要なIPにアクセスするか権限をエスカレートさせるための直接的な経路を持つ可能性が高いことを意味します。」
Perforcは約1年前に調査結果の通知を受け、迅速に対応してリモートユーザーをデフォルトで無効にし、セキュリティを強化するためにドキュメンテーションを更新しました。
「P4は、ソースコードおよびバイナリアセットである最も価値のあるIPを管理および保護するために、世界で最もセキュリティ意識の高いチームの一部から信頼されています。しかし、高度なシステムと同様に、その効果は適切な設定とメンテナンスに大きく依存しています」とPerforcは2025年5月のブログ投稿で述べました。
同社は、「許容状態のままにされたサーバは、時間とともにセキュリティ衛生管理の欠落を生じさせ、重大なリスクをもたらす可能性があります。また、インターネットに接続されたサーバと同様に、P4サーバは最終的に攻撃者によってテストされると想定する必要があります。」と付け加えました。
Perforcへの通知に加えて、Robertsonは影響を受けた60以上の組織に連絡を取り、公開について警告しました。
翻訳元: https://www.securityweek.com/unsecured-perforce-servers-expose-sensitive-data-from-major-orgs/
