Skip to content
PortsDB

Référence des ports

Port 4505 (TCP) – Maître Salt de SaltStack (ZeroMQ)

Port de publication ZeroMQ du maître Salt où les minions s'abonnent pour recevoir des commandes.

tcpRegisteredSouvent attaqué

État par défaut

Ouvert et lié à toutes les interfaces sur les maîtres Salt par défaut, aux côtés du port de retour 4506. L'authentification se fait au niveau du protocole Salt, qui a connu des failles critiques de contournement d'authentification.

Attaques courantes

  • Contournement d'authentification non authentifié contre le maître Salt (CVE-2020-11651)
  • Traversée de répertoire pour lire ou écrire des fichiers du maître (CVE-2020-11652)
  • Vol de la clé du maître menant à l'exécution de commandes arbitraires sur tous les minions
  • Exploitation de masse déployant des cryptomineurs sur les parcs gérés

CVE-2020-11651CVE-2020-11652

Durcissement

  • Ne jamais exposer le 4505/4506 à Internet ; restreindre aux réseaux de minions gérés
  • Corriger Salt rapidement — CVE-2020-11651/11652 permettent une RCE complète du maître
  • Lier le maître à une interface privée et filtrer les ports de publication/retour
  • Activer et vérifier l'acceptation des clés de minion ; renouveler les clés après toute exposition
  • Surveiller les journaux du maître et exécuter Salt comme un service à privilèges minimaux et segmenté

Commande nmap

nmap -p4505,4506 --script http-title <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 4505

Le port 4505 est le bus de publication SaltStack. Le maître Salt utilise un publisher ZeroMQ sur le 4505 pour pousser commandes et états vers ses minions, qui s'abonnent pour les recevoir. Il fonctionne en paire avec le port de retour 4506, où les minions renvoient les résultats et récupèrent des fichiers. Ensemble, ils forment le plan de contrôle d'un parc Salt.

Pourquoi c'est important pour la sécurité

Un maître Salt peut exécuter des commandes en tant que root sur chaque minion géré, donc le bus de publication est l'un des points les plus sensibles d'une infrastructure. Si le maître est joignable et non corrigé, un attaquant qui le compromet obtient une exécution de code simultanée sur tout le parc — un rayon d'impact catastrophique.

Comment c'est attaqué

Les vulnérabilités de 2020 l'ont rendu concret. CVE-2020-11651 est un contournement d'authentification non authentifié et CVE-2020-11652 une traversée de répertoire. Enchaînées, elles permettent à un attaquant d'atteindre le maître, de voler sa clé root et d'exécuter des commandes arbitraires sur tous les minions. Les scans de masse ont suivi en quelques jours, déployant des cryptomineurs sur les parcs exposés.

Liste de durcissement

N'exposez jamais le 4505/4506 à Internet — restreignez-les au réseau de minions géré. Corrigez Salt rapidement contre CVE-2020-11651/11652 et les avis ultérieurs. Liez le maître à une interface privée, filtrez les ports de publication/retour et vérifiez l'acceptation des clés de minion, en renouvelant les clés après toute exposition suspectée. Surveillez les journaux du maître et exécutez Salt comme un service à privilèges minimaux et segmenté. Utilisez la commande nmap ci-dessus pour vérifier l'exposition sur les hôtes que vous êtes autorisé à tester.

Ports liés

Port 4506Port 2375Port 6443Port 22

Questions fréquentes

Quelle différence entre le port 4505 et le 4506 ?
Le 4505 est le bus de publication Salt où les minions s'abonnent aux commandes du maître. Le 4506 est le port de retour/requête que les minions utilisent pour envoyer les résultats et demander des fichiers. Les deux doivent être protégés ensemble.
Quelle était la gravité des vulnérabilités SaltStack de 2020 ?
Critique. CVE-2020-11651 est un contournement d'authentification et CVE-2020-11652 une traversée de répertoire. Enchaînées, elles permettent à un attaquant non authentifié d'atteindre le maître Salt, de voler sa clé et d'exécuter des commandes arbitraires en tant que root sur chaque minion.