Skip to content
PortsDB

Référence des ports

Port 427 (UDP/TCP) – SLP

Service Location Protocol — permet aux appareils de découvrir des services sur un LAN sans configuration manuelle.

udptcpWell-knownSouvent attaqué

État par défaut

Activé par défaut sur de nombreuses versions de VMware ESXi, imprimantes et baies de stockage/SAN. Ne devrait jamais être accessible depuis Internet.

Attaques courantes

  • DDoS par amplification UDP massive (CVE-2023-29552)
  • Énumération de services et d'hôtes / divulgation d'informations

CVE-2023-29552

Durcissement

  • Désactiver SLP partout où il n'est pas requis (par ex. slpd sur ESXi)
  • Bloquer UDP/TCP 427 en bordure d'Internet
  • Restreindre SLP aux seuls VLAN de gestion de confiance
  • Corriger les équipements exposant SLP selon les bulletins des fournisseurs

Commande nmap

nmap -sU -p427 --script slp-discovery <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Qu'est-ce qui tourne sur le port 427 ?

Le port 427 transporte le Service Location Protocol (SLP), défini dans la RFC 2608. Il permet aux clients de découvrir les services réseau disponibles — imprimantes, stockage, hôtes de virtualisation — sans configuration statique, en interrogeant des Directory Agents et des Service Agents. SLP est livré activé sur de nombreuses versions de VMware ESXi, des imprimantes réseau et des baies SAN/NAS, où il est censé servir uniquement sur le LAN.

Pourquoi c'est important pour la sécurité

SLP expose une carte des services et des hôtes à quiconque peut atteindre le port, facilitant la reconnaissance. Bien pire, CVE-2023-29552 a démontré qu'un attaquant non authentifié peut enregistrer des services arbitraires pour gonfler la taille des réponses, transformant les serveurs SLP ouverts en l'un des réflecteurs de DDoS par amplification au facteur le plus élevé connu, dépassant 2000x. Des dizaines de milliers d'instances exposées sur Internet ont été découvertes, principalement sur des équipements que les administrateurs avaient oubliés.

Comment il est attaqué

Les attaquants scannent l'UDP 427 à la recherche de services SLP répondants, puis récoltent l'annuaire de services publié pour la reconnaissance ou détournent l'hôte pour un DDoS par réflexion. En exploitant CVE-2023-29552, ils remplissent la table de services et reflètent des requêtes usurpées, livrant un trafic énorme à une victime à partir d'un volume de requêtes dérisoire.

Liste de durcissement

Désactivez SLP partout où il n'est pas activement utilisé — sur ESXi, arrêtez et désactivez le service slpd selon les recommandations de VMware. Bloquez UDP et TCP 427 au périmètre et confinez SLP à des VLAN de gestion dédiés. Appliquez les correctifs des fournisseurs pour les équipements affectés. Utilisez la commande nmap ci-dessus pour confirmer que SLP n'est pas accessible sur les hôtes que vous êtes autorisé à tester.

Ports liés

Port 53Port 1900Port 5353Port 137

Questions fréquentes

Qu'est-ce qui utilise le port 427 ?
Le port 427 est le Service Location Protocol (SLP), utilisé pour la découverte de services par VMware ESXi, les imprimantes réseau et les baies de stockage. Il est rarement nécessaire sur Internet public.
Quelle est la gravité de la faille d'amplification SLP ?
CVE-2023-29552 permet aux attaquants d'enregistrer de faux services afin qu'une minuscule requête produise une réponse énorme, atteignant des facteurs d'amplification supérieurs à 2000x — parmi les plus élevés jamais enregistrés.