Référence des ports
Port 4222 (TCP) – NATS messaging
Port client par défaut de NATS, un système de messagerie cloud-native haute performance en publication/abonnement et requête/réponse.
État par défaut
NATS fonctionne sans authentification par défaut, donc tout client qui atteint 4222 peut publier et s'abonner à tous les sujets. L'endpoint de monitoring sur 8222 peut aussi être exposé.
Attaques courantes
- Connexion anonyme pour s'abonner et publier sur tous les sujets
- Abonnement avec le joker > pour capturer chaque message
- Injection de messages dans les sujets applicatifs et de contrôle
- Divulgation d'informations via l'endpoint de monitoring sur 8222
Durcissement
- Activer l'authentification (jetons, identifiant/mot de passe ou NKEYS/JWT)
- Utiliser TLS pour les connexions client et entre les routes du cluster
- Lier à une interface privée et limiter 4222 (et 8222) par pare-feu aux hôtes de confiance
- Appliquer des permissions de sujet par utilisateur pour limiter la portée publication/abonnement
- Restreindre ou désactiver l'endpoint de monitoring et maintenir NATS à jour
Commande nmap
nmap -p4222 --script banner <target>Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.
Que tourne sur le port 4222 ?
Le port 4222 est le port client par défaut de NATS, un système de messagerie cloud-native haute performance prenant en charge les schémas publication/abonnement et requête/réponse. Les services se connectent à un serveur (ou cluster) NATS pour échanger des messages sur des sujets nommés, découplant les microservices. Un endpoint HTTP de monitoring distinct tourne généralement sur 8222.
Pourquoi c'est important pour la sécurité
NATS est souvent déployé au sein de clusters où la commodité l'emporte, et il fonctionne sans authentification par défaut. Tout client qui atteint 4222 peut s'abonner et publier sur tous les sujets, lisant le trafic interne et injectant des commandes. Si l'endpoint de monitoring sur 8222 est aussi exposé, il fuit la topologie, les connexions et l'activité des sujets à quiconque le demande.
Comment c'est attaqué
Les attaquants se connectent anonymement et s'abonnent à >, le joker
complet, pour capturer chaque message transitant par le serveur. Ils injectent des
messages dans les sujets applicatifs et de contrôle pour influencer les services,
et récoltent les données de 8222 qui cartographient le déploiement pour de
futures attaques.
Liste de durcissement
Activez l'authentification — jetons, identifiant/mot de passe ou NKEYS/JWT — et appliquez des permissions de sujet par utilisateur. Utilisez TLS pour les connexions client et les routes du cluster. Liez à une interface privée et limitez 4222 et 8222 par pare-feu aux hôtes de confiance, restreignez ou désactivez l'endpoint de monitoring, et maintenez NATS à jour. Utilisez l'extrait nmap ci-dessus pour vérifier l'exposition sur les serveurs que vous êtes autorisé à tester.
Ports liés
Questions fréquentes
- NATS exige-t-il une authentification par défaut ?
- Non. Un serveur NATS par défaut accepte les clients anonymes sur 4222, permettant à quiconque de s'abonner et publier sur tous les sujets. Activez jetons, identifiant/mot de passe ou NKEYS/JWT et appliquez des permissions par utilisateur.
- Qu'est-ce que le port de monitoring NATS 8222 ?
- NATS expose un endpoint de monitoring HTTP sur 8222 qui rapporte connexions, sujets et état du serveur. S'il est accessible, il fuit la topologie et l'activité ; restreignez-le ou désactivez-le et limitez le port par pare-feu.