Skip to content
PortsDB

Référence des ports

Port 1911 (TCP) – Tridium Niagara Fox

Protocole Fox utilisé par le framework de GTB Tridium Niagara pour relier stations, contrôleurs JACE et outils Workbench.

tcpRegisteredSouvent attaqué

État par défaut

Ouvert sur les contrôleurs JACE et stations Supervisor Tridium Niagara exécutant le service Fox (1911 en clair, 4911 TLS).

Attaques courantes

  • Énumération de la station et de la version via le script fox-info
  • Exploitation de CVE Niagara connues (traversée de chemin, chiffrement faible)
  • Force brute d'identifiants et abus des comptes par défaut
  • Découverte de l'exposition Internet via Shodan/Censys

CVE-2012-4701CVE-2012-4702

Durcissement

  • Ne jamais exposer le port 1911/4911 à Internet — garder la GTB sur un réseau isolé
  • Mettre à jour Niagara vers une version récente et supprimer les comptes par défaut
  • Utiliser le port Fox TLS (4911) et imposer des identifiants forts et uniques
  • Segmenter avec des pare-feu et restreindre l'accès aux hôtes d'ingénierie autorisés

Commande nmap

nmap -p1911 --script fox-info <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 1911

Le port 1911 véhicule le protocole Fox, la couche de communication du framework de GTB Tridium Niagara (Niagara AX et N4). Il relie les contrôleurs de terrain JACE, les stations Supervisor et l'outil d'ingénierie Workbench, gérant CVC, éclairage, contrôle d'accès et systèmes énergétiques. Le service en clair tourne sur 1911 ; la variante sécurisée TLS utilise 4911.

Pourquoi c'est important pour la sécurité

Niagara est largement déployé dans les bâtiments commerciaux, hôpitaux et campus, et de nombreuses stations sont configurées avec des comptes par défaut ou un firmware obsolète. Un service Fox accessible expose l'interface de configuration et de gestion de la plateforme, et des failles historiques telles que CVE-2012-4701/4702 permettaient une traversée de chemin et une divulgation d'identifiants. Des milliers de stations ont été indexées sur Shodan, en faisant des cibles faciles pour les attaquants opportunistes et un point de pivot vers les contrôles du bâtiment.

Comment il est attaqué

Les attaquants identifient les stations avec le script nmap fox-info, qui renvoie le nom de la station, la version et les détails de l'hôte. Ils vérifient ensuite les CVE non corrigées, les identifiants par défaut et le chiffrement faible, ou forcent simplement les connexions. Une fois entré, un attaquant contrôle les systèmes du bâtiment et peut pivoter plus profondément dans le réseau OT.

Liste de durcissement

N'exposez jamais 1911 ni 4911 à Internet — gardez la GTB sur un réseau isolé derrière des pare-feu. Mettez à jour Niagara vers une version récente, supprimez les comptes par défaut et imposez des identifiants forts et uniques. Préférez le port Fox TLS 4911, et restreignez l'accès aux seuls hôtes d'ingénierie autorisés. N'utilisez la commande nmap ci-dessus que sur les systèmes que vous êtes autorisé à évaluer.

Ports liés

Port 47808Port 102Port 502Port 2404

Questions fréquentes

Qu'est-ce que le protocole Fox sur le port 1911 ?
Fox est le protocole propriétaire du framework de GTB Tridium Niagara. Il relie les contrôleurs JACE, les stations Supervisor et l'outil Workbench. Le port 1911 est en clair ; 4911 est la variante TLS.
Niagara Fox peut-il être exposé en ligne sans danger ?
Non. Les stations Niagara ont un historique de CVE et de configurations par défaut faibles, et des milliers ont été trouvées exposées sur Shodan. La GTB ne devrait jamais être directement accessible depuis Internet.