🔍 Contexte

Publié en avril 2026 sur morganrobertson.net, cet article de recherche en sécurité documente une investigation menée entre mars et mai 2025 sur les instances Perforce Helix Core (P4) accessibles publiquement sur Internet. Le chercheur a identifié 6 121 instances contactables présentant des failles critiques liées aux configurations par défaut non sécurisées.

📊 Statistiques d’exposition

  • 72% des serveurs autorisent un accès en lecture aux fichiers internes
  • 21% (1 334 serveurs) permettent un accès en lecture/écriture
  • 4% (223 serveurs) disposent de comptes « super » non sécurisés permettant une compromission complète via injection de commandes (RCE)
  • 32% des serveurs sous licence (268/829) présentent une configuration non sécurisée

🛠️ Misconfigurations identifiées

  1. Création automatique de comptes utilisateurs (dm.user.noautocreate non configuré)
  2. Listage d’utilisateurs non authentifié — permet l’énumération et le brute-force
  3. Comptes sans mot de passe — accès direct en usurpant l’identité d’un utilisateur
  4. Auto-définition du mot de passe initial — permet à un attaquant de s’approprier un compte inactif
  5. Synchronisation non authentifiée via Remote Depot — l’utilisateur caché remote (activé par défaut jusqu’à la version 2025.1) permet la lecture de tous les fichiers sans authentification si le niveau de sécurité est ≤ 3

💥 Impact et vecteurs d’attaque

  • Exfiltration de code source : dépôts de jeux AAA, logiciels médicaux, bancaires, gouvernementaux, automobiles
  • RCE via triggers P4 : un compte super sans mot de passe permet d’injecter des scripts exécutés côté serveur
  • Mouvement latéral : présence de certificats PEM, clés privées, fichiers .env, configurations Okta/SAML dans des dépôts exposés
  • Attaques supply chain : un seul serveur vendeur exposait le code source de dizaines de clients en aval

🏭 Secteurs impactés

Jeux vidéo (AAA, indie), santé/dispositifs médicaux, services financiers (core banking, PoS), gouvernement/défense, automobile (ECU, schémas électriques), éducation, industrie/ICS, Web3/crypto, aérospatiale, VFX/animation.

🔧 Réponse du vendeur

  • 15 mai 2025 : Perforce P4 Server 2025.1 publié — l’utilisateur remote est désormais désactivé par défaut
  • 29 mai 2025 : Publication d’un article de durcissement par Perforce
  • Avril 2026 : Aucun CVE attribué malgré les règles CNA stipulant que les défauts non sécurisés doivent être traités comme des vulnérabilités

🧰 Outils publiés

  • P4WNED : audit des configurations non sécurisées (énumération, mots de passe vides, accès super)
  • P4GHOST : test d’accès non authentifié via remote depot
  • Templates Nuclei, modules Metasploit, outils JavaScript standalone
  • Disponibles sur https://github.com/flyingllama87/p4wned

📌 Nature de l’article

Il s’agit d’une publication de recherche combinant analyse technique approfondie, statistiques d’exposition à grande échelle, études de cas réels et divulgation responsable coordonnée, visant à documenter l’impact des configurations par défaut non sécurisées de Perforce Helix Core.

🧠 TTPs et IOCs détectés

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1078.001 — Valid Accounts: Default Accounts (Defense Evasion)
  • T1110 — Brute Force (Credential Access)
  • T1087 — Account Discovery (Discovery)
  • T1083 — File and Directory Discovery (Discovery)
  • T1213 — Data from Information Repositories (Collection)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1552 — Unsecured Credentials (Credential Access)
  • T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
  • T1021 — Remote Services (Lateral Movement)

IOC

  • URLs : https://github.com/flyingllama87/p4wnedURLhaus

Malware / Outils

  • P4WNED (tool)
  • P4GHOST (tool)

🟡 Indice de vérification factuelle : 46/100 (moyenne)

  • ⬜ morganrobertson.net — source non référencée (0pts)
  • ✅ 50383 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ 0/1 IOCs confirmés externellement (0pts)
  • ✅ 11 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://morganrobertson.net/p4wned/