Nghiên cứu cảnh báo: Hơn 1.500 máy chủ Perforce đang để lộ mã nguồn và dữ liệu nhạy cảm

Một nhà nghiên cứu bảo mật vừa phát hiện hơn 1.500 máy chủ Perforce đang hoạt động công khai vẫn cho phép truy cập không cần xác thực, làm lộ mã nguồn và dữ liệu nhạy cảm của các tổ chức lớn. Mặc dù nhà cung cấp đã khắc phục một số lỗ hổng mặc định, nhiều hệ thống vẫn không được cấu hình đúng cách, tạo cơ hội cho tin tặc đánh cắp tài sản trí tuệ quan trọng.

Lỗ hổng bảo mật trong phát triển phần mềm

Lỗ hổng trên nền tảng kiểm soát phiên bản phổ biến

Perforce P4 (trước đây là Helix Core) là một nền tảng kiểm soát phiên bản tập trung được thiết kế để xử lý các yêu cầu dữ liệu khổng lồ của các ngành công nghiệp như phát triển trò chơi AAA và thiết kế bán dẫn. Dù đóng vai trò quan trọng trong quản lý tài sản kỹ thuật số, nếu không được bảo vệ đúng cách, P4 có thể trở thành mục tiêu giá trị cho các tội phạm mạng.

Vào mùa xuân năm 2025, nhà nghiên cứu bảo mật người Úc Morgan Robertson đã tiến hành phân tích các máy chủ Perforce tiếp xúc với internet và phát hiện ra 6.122 phiên bản đang hoạt động. Kết quả cho thấy tình trạng bảo mật đáng báo động: 72% trong số này cung cấp quyền truy cập chỉ đọc vào mã nguồn thông qua một tài khoản người dùng từ xa (remote user) được bật mặc định.

Thậm chí nguy hiểm hơn, 21% các phiên bản có ít nhất một tài khoản không đặt mật khẩu, cho phép truy cập đọc-ghi trực tiếp, và 4% máy chủ có tài khoản "siêu người dùng" (superuser) không được bảo vệ, dẫn đến nguy cơ chiếm đoạt toàn bộ hệ thống qua lỗ hổng chèn lệnh (command injection).

Tác động đến các tổ chức lớn

Robertson đã công bố những phát hiện của mình vào thứ Ba, cho biết trong số 6.122 máy chủ công khai được tìm thấy ban đầu, hiện仍有 2.826 máy chủ vẫn hoạt động tại các địa chỉ IP gốc. Trong đó, khoảng 1.525 máy chủ (chiếm 54%) vẫn cho phép truy cập không cần xác thực vào mã nguồn.

Mã nguồn bị lộ

Các máy chủ bị ảnh hưởng thuộc về nhiều loại hình tổ chức khác nhau, bao gồm các nhà phát triển game AAA và indie, trường đại học, studio hoạt hình, dự án tiền điện tử và các nhà sản xuất. Đáng chú ý, Robertson nhận thấy một số máy chủ bị lộ dường như thuộc về các tổ chức lớn như:

• Một nhà thầu quốc phòng ở khu vực cụ thể.
• Các nhà cung cấp công nghệ y tế.
• Một nhà cung cấp phần mềm thực thi pháp luật tại Bắc Mỹ.
• Một tập đoàn tự động hóa công nghiệp quốc tế.
• Một startup xe điện thương mại tại Bắc Mỹ.
• Một nhà cung cấp phần mềm POS và ERP bán lẻ tại Châu Á.
• Một nhà sản xuất phần mềm ngân hàng.

Những máy chủ này đã để lộ thông tin cực kỳ nhạy cảm, bao gồm thông tin khách hàng, dự án nội bộ, thông tin cá nhân, thông tin xác thực (credentials), mã nguồn và sơ đồ sản phẩm.

Nguy cơ từ mạng nội bộ và phản ứng của nhà cung cấp

Một điểm đáng lo ngại khác là các số liệu này chỉ phản ánh cơ sở hạ tầng công khai. Robertson lưu ý rằng một số lượng lớn máy chủ Perforce nằm hoàn toàn trên mạng nội bộ nhưng được triển khai với các mặc định không an toàn tương tự.

“Điều này có nghĩa là bất kỳ tác nhân xấu, mối đe dọa nội bộ hoặc đội red team nào có foothold trên mạng công ty đều có thể có đường dẫn trực tiếp để truy cập tài sản trí tuệ quan trọng hoặc nâng cao đặc quyền thông qua các hệ thống này,” Robertson giải thích.

Perforce đã được thông báo về những phát hiện này khoảng một năm trước và đã nhanh chóng hành động, vô hiệu hóa tài khoản người dùng từ xa theo mặc định và cập nhật tài liệu để tăng cường bảo mật. Trong một bài đăng trên blog tháng 5 năm 2025, Perforce nhấn mạnh rằng hiệu quả của bất kỳ hệ thống nâng cao nào cũng phụ thuộc rất nhiều vào việc cấu hình và bảo trì đúng cách.

“Bất kỳ máy chủ nào để ở trạng thái quá cho phép đều có thể tạo ra những lỗ hổng trong vệ sinh bảo mật theo thời gian và dẫn đến rủi ro đáng kể. Và giống như bất kỳ máy chủ nào kết nối với internet, bạn nên giả định rằng máy chủ P4 của mình cuối cùng sẽ bị kiểm tra bởi một kẻ tấn công,” đại diện Perforce cảnh báo.

Ngoài việc thông báo cho Perforce, Robertson đã liên hệ với hơn 60 tổ chức bị ảnh hưởng để cảnh báo họ về việc lộ dữ liệu này.