Skip to content
PortsDB

Référence des ports

Port 548 (TCP) – AFP (Apple Filing Protocol)

Apple Filing Protocol pour le partage de fichiers réseau macOS et les sauvegardes Time Machine.

tcpWell-knownSouvent attaqué

État par défaut

Ouvert sur les serveurs macOS, les anciens Mac et les NAS qui activent le partage AFP.

Attaques courantes

  • Brute force d'authentification contre les comptes utilisateurs AFP
  • Divulgation d'informations serveur pré-authentification via afp-serverinfo
  • Exploitation de vulnérabilités NAS/Netatalk pour de l'exécution de code
  • Accès non autorisé aux volumes partagés et aux sauvegardes Time Machine

Durcissement

  • Préférer SMB (port 445) — AFP est déprécié par Apple
  • Exiger une authentification forte et désactiver l'accès invité
  • Ne jamais exposer AFP à Internet ; restreindre au LAN/VPN de confiance
  • Mettre à jour Netatalk sur les NAS et maintenir macOS à jour

Commande nmap

nmap -p548 --script afp-serverinfo,afp-brute <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 548

Le port 548 est le port par défaut d'AFP, l'Apple Filing Protocol, le protocole de partage de fichiers réseau natif d'Apple. Il a servi pendant des années les partages de fichiers macOS et les sauvegardes Time Machine, et il est implémenté sur de nombreux NAS via le Netatalk open source. Apple a depuis déprécié AFP au profit de SMB, mais il reste activé sur d'anciens Mac et appareils de stockage.

Pourquoi c'est important pour la sécurité

AFP divulgue des informations serveur avant l'authentification — nom de la machine, méthodes d'auth prises en charge et partages — offrant de la reconnaissance à quiconque atteint le port. Comme tout service de partage de fichiers, il est une cible de brute force d'identifiants, et un point d'appui donne accès aux volumes partagés et aux sauvegardes. De manière critique, Netatalk sur les NAS a connu de graves vulnérabilités d'exécution de code à distance, faisant d'un AFP exposé une cible de grande valeur.

Comment il est attaqué

Les attaquants récupèrent d'abord les infos serveur pré-auth pour cartographier les partages et méthodes d'auth, puis brute-forcent les identifiants pour atteindre les volumes. Là où des versions Netatalk vulnérables tournent sur des NAS, ils enchaînent des exploits RCE connus pour une compromission totale de l'appareil. Les scanners de masse trouvent vite l'AFP exposé à Internet, et les sauvegardes Time Machine rendent ces partages particulièrement précieux à voler ou rançonner.

Liste de durcissement

Migrez vers SMB (port 445) puisque AFP est déprécié. Exigez une authentification forte, désactivez l'accès invité et n'exposez jamais le port 548 à Internet — gardez-le sur un LAN de confiance ou derrière un VPN. Sur les NAS, mettez à jour Netatalk rapidement et maintenez macOS à jour. La commande nmap ci-dessus récupère les infos serveur et teste l'authentification sur les hôtes que vous êtes autorisé à tester.

Ports liés

Port 445Port 139Port 631Port 5009

Questions fréquentes

AFP est-il encore utilisé ?
AFP est déprécié ; Apple privilégie désormais SMB pour le partage de fichiers. Il subsiste sur les anciens Mac, les configurations Time Machine et les NAS exécutant Netatalk, où il reste une cible.
Pourquoi un AFP exposé est-il dangereux ?
AFP divulgue des détails serveur avant l'authentification et est sujet au brute force d'identifiants. Les implémentations Netatalk sur NAS ont connu de graves failles d'exécution de code à distance, l'exposition à Internet est donc à haut risque.