P4WNED: Como as Configurações Padrão Inseguras do Perforce Expõem Código-Fonte na Internet

Scans públicas de 6.121 servidores Perforce revelaram que 72% permitiam acesso de leitura não autenticado, 21% expunham caminhos de leitura e escrita, e 4% possuíam contas de superusuário sem senha com potencial para RCE (Remote Code Execution) via gatilho. A pesquisa detalha cinco configurações padrão incorretas: criação automática de contas, listagem de usuários não autenticados, contas sem senha, senhas iniciais de autoatendimento e um usuário "remote" oculto (agora corrigido) que possibilitava a sincronização de remote-depot sem autenticação.

O estudo também demonstra exposições reais em estúdios de jogos, fornecedores médicos e financeiros, entidades governamentais e provedores de cadeia de suprimentos. Ele oferece linhas de base concretas para p4 configure (como security=4, dm.user.noautocreate=2, dm.user.setinitialpasswd=0, entre outras) e ferramentas de código aberto (P4WNED, P4GHOST, templates Nuclei e módulos Metasploit) para auditar e proteger qualquer footprint de P4.