Perforce P4, ehemals unter dem Namen Helix Core bekannt, ist ein zentralisiertes Versionskontrollsystem, das speziell für große Datenmengen in Industrien wie Gaming und Halbleiterdesign ausgelegt ist. Doch genau diese Bedeutsamkeit macht es für Angreifer interessant, wenn es falsch konfiguriert ist.
Bei Robertsons Analyse zeigten sich erhebliche Sicherheitsmängel: Von den 6.122 identifizierten Instanzen gewährten 72 Prozent unautentifizierten Lesezugriff auf Quellcode durch einen standardmäßig aktivierten Remote-Benutzer. Noch kritischer war der Befund bei 21 Prozent der Server – hier waren Konten ohne Passwort vorhanden, die direkten Lese- und Schreibzugriff ermöglichten. Besonders besorgniserregend: Vier Prozent der Server hatten ungeschützte Superuser-Konten, die eine vollständige Systemkompromittierung via Command Injection ermöglichten.
Die weitere Nachverfolgung zeigt, dass von den 2.826 noch aktiven Servern immerhin 1.525 (54 Prozent) weiterhin unautentifizierten Zugriff auf Quellcode erlauben. 501 Instanzen ermöglichen sogar uneingeschränkte Benutzeraufzählung und geben Serverinformationen preis.
Unter den betroffenen Organisationen befinden sich laut Robertson ein regionaler Rüstungsunternehmer, mehrere Medizintechnik-Anbieter, ein nordamerikanischer Softwarehersteller für Strafverfolgungsbehörden, ein internationales Automatisierungsunternehmen, ein Elektrofahrzeug-Startup sowie Finanz- und POS-Softwareanbieter. Die exponierten Daten reichen von Kundendaten über interne Projekte bis zu Anmeldedaten, Quellcode und Produktschemen.
Robertson betont einen wichtigen Aspekt: Die Zahlen beziehen sich nur auf öffentlich erreichbare Infrastruktur. Viele Perforce-Server befinden sich in internen Netzwerken mit denselben unsicheren Standardkonfigurationen. Das bedeutet: Sobald ein Angreifer oder Insider einen Fuß in das Unternehmensnetzwerk setzt, hat er potenziell direkten Zugang zu kritischem Intellectual Property oder kann sein Berechtigungsniveau eskalieren.
Perforce reagierte bereits vor einem Jahr und deaktivierte den Remote-Benutzer standardmäßig. Das Unternehmen betont, dass P4 von sicherheitsorientierten Teams zur Verwaltung ihres wertvollsten Assets – Quellcode und Binärdateien – vertraut wird. Dennoch warnt Perforce: Jeder Server in einem permissiven Zustand könne zu Sicherheitslücken führen, und jeder internet-verbundene P4-Server sollte mit der Annahme betrieben werden, dass er irgendwann angegriffen wird.
Robertson hat über 60 betroffene Organisationen persönlich benachrichtigt. Für deutsche Unternehmen ist dies ein Weckruf: Regelmäßige Audits, Passwort-Enforcement und restriktive Zugriffsrechte sind essentiell.