Skip to content
PortsDB

Référence des ports

Port 1521 (TCP) – Écouteur TNS Oracle Database

Port par défaut de l'écouteur TNS Oracle pour les connexions clientes aux bases Oracle.

tcpRegisteredSouvent attaqué

État par défaut

L'écouteur TNS se lie au port 1521 sur les hôtes Oracle Database par défaut. Souvent accessible sur le LAN ; les écouteurs anciens ou non corrigés peuvent autoriser une administration sans authentification.

Attaques courantes

  • Force brute de SID et de nom de service pour découvrir les bases
  • Empoisonnement TNS / détournement de l'enregistrement de l'écouteur
  • Force brute des identifiants contre les comptes de la base
  • Exploitation de l'administration non authentifiée de l'écouteur sur les anciennes versions

CVE-2012-1675

Durcissement

  • Lier à une interface privée ; ne jamais exposer 1521 à Internet
  • Définir un mot de passe d'écouteur et activer la vérification des nœuds valides (ACL)
  • Appliquer le correctif d'empoisonnement TNS (restrictions d'enregistrement dynamique, CVE-2012-1675)
  • Imposer des mots de passe forts pour les comptes de base et le verrouillage de compte
  • Exiger le chiffrement réseau natif Oracle ou TLS et appliquer les correctifs rapidement

Commande nmap

nmap -p1521 --script oracle-tns-version,oracle-sid-brute <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Que tourne sur le port 1521 ?

Le port 1521 est le port par défaut de l'écouteur TNS (Transparent Network Substrate) d'Oracle, le processus qui accepte les connexions clientes entrantes et les achemine vers les instances Oracle Database. Les clients identifient une cible par SID ou nom de service, et l'écouteur établit la session avec la bonne instance. C'est la porte d'entrée d'un parc Oracle.

Pourquoi c'est important pour la sécurité

L'écouteur expose des bases qui contiennent souvent des données d'entreprise critiques ; un port 1521 ouvert est donc une cible de grande valeur. Les écouteurs anciens ou mal configurés permettaient une administration distante sans authentification, et même corrigés, ils divulguent des détails d'instance qui aident un attaquant à planifier la suite. Connaître un SID valide et des identifiants faibles suffit souvent à atteindre les données.

Comment c'est attaqué

Les attaquants exécutent d'abord une force brute de SID / nom de service pour énumérer les bases, puis forcent les identifiants des comptes. La faille d'empoisonnement TNS (CVE-2012-1675) permet d'enregistrer un service malveillant et d'intercepter ou détourner les connexions clientes. Les écouteurs anciens sans mot de passe pouvaient être administrés à distance, autorisant la redirection de journaux ou un déni de service.

Liste de durcissement

Liez l'écouteur à une interface privée et gardez 1521 hors d'Internet, derrière un pare-feu ou un VPN. Définissez un mot de passe d'écouteur, activez la vérification des nœuds valides (ACL), et appliquez la mitigation Oracle contre l'empoisonnement TNS en restreignant l'enregistrement dynamique. Imposez des mots de passe forts avec verrouillage, exigez le chiffrement réseau natif ou TLS, et appliquez les correctifs rapidement. Utilisez l'extrait nmap ci-dessus pour identifier l'écouteur et énumérer les SID sur les hôtes que vous êtes autorisé à tester.

Ports liés

Port 1433Port 3306Port 5432Port 27017

Questions fréquentes

Qu'est-ce que l'empoisonnement TNS ?
Une faille (CVE-2012-1675) où un attaquant enregistre un service malveillant auprès de l'écouteur et intercepte ou détourne le trafic client. Restreignez l'enregistrement dynamique et appliquez la mitigation d'Oracle.
Pourquoi forcer le SID Oracle ?
Vous devez connaître un SID ou un nom de service valide pour vous connecter. Le découvrir par force brute est la première étape avant d'attaquer les identifiants ; un écouteur privé limite l'exposition.