Référence des ports
Port 44818 (TCP/UDP) – EtherNet/IP (CIP)
EtherNet/IP encapsulant le Common Industrial Protocol — contrôle les automates et appareils CIP Allen-Bradley et autres.
État par défaut
Ouvert sur les automates et appareils EtherNet/IP (ex. Allen-Bradley/Rockwell) sans authentification sur l'interface de messagerie explicite.
Attaques courantes
- Énumération d'identité : fabricant, produit, firmware via enip-info
- Lecture/écriture sans authentification des tags et objets CIP
- Arrêt/réinitialisation d'automate et modifications de configuration via les services CIP
- Déni de service contre les contrôleurs et adaptateurs
Durcissement
- Ne jamais exposer le port 44818 à Internet — isoler EtherNet/IP sur une cellule OT
- Segmenter avec pare-feu/DMZ et n'autoriser que les contrôleurs/IHM légitimes
- Activer la protection côté contrôleur (slots de confiance, mode RUN par commutateur à clé)
- Surveiller avec un IDS ICS pour les services CIP d'écriture/administration inattendus
Commande nmap
nmap -p44818 --script enip-info <target>Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.
Ce qui s'exécute sur le port 44818
Le port 44818 véhicule EtherNet/IP, qui encapsule le Common Industrial Protocol (CIP) pour l'automatisation d'usine. C'est l'épine dorsale des appareils Allen-Bradley / Rockwell et de nombreux autres fabricants. La messagerie explicite sur TCP/UDP 44818 permet aux clients de lire l'identité de l'appareil, de lire et écrire des tags et d'appeler des services CIP, tandis que les E/S implicites passent sur UDP 2222.
Pourquoi c'est important pour la sécurité
L'interface CIP sur 44818 n'a généralement aucune authentification. Un appareil accessible renvoie librement son objet d'identité — fabricant, code produit, firmware, série — et accepte la lecture/écriture de tags et d'objets. Cela signifie que quiconque atteint le port peut énumérer le contrôleur et, dans de nombreux cas, modifier la configuration, altérer les tags ou arrêter/réinitialiser l'automate, impactant directement la ligne de production. Le CIP Security plus récent existe mais est rarement activé.
Comment il est attaqué
Les attaquants identifient les contrôleurs avec le script nmap enip-info,
récoltant les détails d'identité pour faire correspondre CVE connues et
capacités. Sans authentification, ils lisent et écrivent des tags, invoquent des
services CIP administratifs et peuvent arrêter ou réinitialiser l'automate.
Des requêtes malformées peuvent aussi déclencher un déni de service sur le
contrôleur ou l'adaptateur.
Liste de durcissement
N'exposez jamais le port 44818 à Internet — gardez les appareils EtherNet/IP dans une cellule OT isolée derrière des pare-feu et une DMZ, et n'autorisez que les contrôleurs et IHM légitimes. Activez la protection côté contrôleur (slots de confiance, commutateur à clé physique en RUN), appliquez CIP Security lorsque disponible, et mettez à jour le firmware. Ajoutez un IDS ICS pour signaler les services CIP d'écriture/administration inattendus. N'utilisez la commande nmap ci-dessus que sur les systèmes que vous êtes autorisé à évaluer.
Ports liés
Questions fréquentes
- EtherNet/IP dispose-t-il d'une authentification ?
- L'interface de messagerie explicite CIP sur le port 44818 n'a généralement aucune authentification, donc un appareil accessible renvoie son identité et accepte les opérations sur tags et objets. Les contrôleurs Rockwell récents ajoutent CIP Security, mais il est peu déployé.
- Qu'est-ce que CIP sur EtherNet/IP ?
- CIP (Common Industrial Protocol) est la couche applicative ; EtherNet/IP est son encapsulation sur TCP/UDP. Ensemble, ils permettent aux maîtres de lire et écrire des tags et d'appeler des services sur les automates et appareils de terrain en automatisation d'usine.