Skip to content
PortsDB

Référence des ports

Port 3000 (TCP) – Serveur de dev / Grafana

Port de serveur de dev courant (Node.js, Create React App, Rails) et port par défaut de Grafana. Pas de service fixe unique.

tcpRegisteredSouvent attaqué

État par défaut

Ouvert lorsqu'un serveur de dev ou Grafana tourne. Souvent en HTTP simple et exposé à toutes les interfaces par erreur.

Attaques courantes

  • Traversée de chemin / lecture de fichier arbitraire dans Grafana (CVE-2021-43798)
  • Identifiants admin Grafana par défaut ou faibles (admin/admin)
  • Serveurs de dev Node/Rails exposés par accident avec sortie de débogage
  • Interception en clair des identifiants et jetons de session

CVE-2021-43798

Durcissement

  • Corriger Grafana vers une version corrigée (CVE-2021-43798 affectait 8.0.0–8.3.0)
  • Changer les identifiants admin par défaut et imposer une auth forte/MFA
  • Ne jamais exposer les serveurs de dev ou Grafana sur le 3000 directement à Internet
  • Lier à localhost et placer derrière un proxy inverse TLS authentifié
  • Restreindre par liste d'IP / VPN et désactiver le mode débogage du framework

Commande nmap

nmap -p3000 --script http-title,http-headers,http-enum <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Qu'est-ce qui tourne sur le port 3000 ?

Le port 3000 est un port de serveur de développement populaire — le port par défaut de nombreuses applications Node.js, de Create React App et de Ruby on Rails — et le port web par défaut de Grafana, la plateforme de métriques et de tableaux de bord. Il n'y a aucun service fixe unique sur le 3000, donc identifiez toujours l'écouteur. Il sert généralement du HTTP simple sans TLS.

Pourquoi c'est important pour la sécurité

Les deux occupants courants sont risqués lorsqu'ils sont exposés. Grafana détient des tableaux de bord, des identifiants de sources de données et des clés API, et arrive avec une connexion par défaut admin/admin. Les serveurs de dev Node ou Rails laissent fuir traces, source et config en mode débogage. Comme le 3000 est très souvent lié à toutes les interfaces pendant le développement, il est fréquemment exposé à Internet par accident.

Comment il est attaqué

L'exploit marquant est CVE-2021-43798, une traversée de chemin Grafana dans 8.0.0–8.3.0 permettant à des attaquants non authentifiés de lire des fichiers arbitraires — dont grafana.ini et des secrets — sur le 3000. Les attaquants essaient aussi les identifiants par défaut, brute-forcent la connexion, déclenchent la sortie de débogage des serveurs de dev pour des secrets, et interceptent les jetons en clair.

Liste de durcissement

Corrigez Grafana (CVE-2021-43798 affectait 8.0.0–8.3.0) et changez la connexion admin par défaut, en imposant une auth forte et le MFA. N'exposez jamais un serveur de dev ou Grafana sur le 3000 directement — liez à 127.0.0.1 et placez derrière un proxy inverse TLS authentifié. Restreignez par liste d'IP ou VPN et désactivez le mode débogage du framework. La commande nmap vérifie titre, en-têtes et chemins courants sur les systèmes que vous êtes autorisé à tester.

Ports liés

Port 80Port 443Port 8080Port 9090

Questions fréquentes

À quoi sert le port 3000 ?
C'est un port de serveur de développement courant (Node.js, Create React App, Ruby on Rails) et le port par défaut de Grafana. Il n'y a pas de service fixe unique, donc identifiez ce qui écoute réellement avant de conclure.
Qu'est-ce que la CVE-2021-43798 sur le port 3000 ?
Une faille de traversée de chemin dans Grafana 8.0.0–8.3.0 permettant à un attaquant non authentifié de lire des fichiers arbitraires (dont grafana.ini et des secrets) via des URL de plugin sur le port 3000. Corrigez Grafana et ne l'exposez jamais directement à Internet.