Skip to content
PortsDB

Référence des ports

Port 5601 (TCP) – Kibana

Port par défaut de Kibana, l'interface web de visualisation et de gestion des données Elasticsearch.

tcpRegisteredSouvent attaqué

État par défaut

Kibana se lie souvent à 0.0.0.0 sans authentification tant que la pile de sécurité Elastic n'est pas configurée, exposant les tableaux de bord et les données Elasticsearch sous-jacentes à quiconque atteint 5601.

Attaques courantes

  • Accès non authentifié aux tableaux de bord exposant des données Elasticsearch sensibles
  • CVE-2019-7609 : exécution de code à distance via pollution de prototype dans Timelion
  • Pivotement vers le cluster Elasticsearch sous-jacent sur 9200
  • Divulgation de journaux, de métriques et d'enregistrements indexés

CVE-2019-7609

Durcissement

  • Lier à localhost ou à une interface privée (server.host) ; ne jamais exposer 5601 à Internet
  • Activer la sécurité de la pile Elastic (authentification et RBAC)
  • Exiger TLS et placer un reverse proxy avec authentification pour l'accès distant
  • Limiter 5601 par pare-feu aux hôtes de confiance et le segmenter d'Elasticsearch
  • Maintenir Kibana et Elasticsearch à jour

Commande nmap

nmap -p5601 --script http-title <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Que tourne sur le port 5601 ?

Le port 5601 est le port par défaut de Kibana, l'interface web de la pile Elastic utilisée pour rechercher, visualiser et gérer les données stockées dans Elasticsearch. Les opérateurs ouvrent des tableaux de bord dans un navigateur via 5601, et Kibana interroge en leur nom le cluster Elasticsearch sous-jacent (API HTTP sur 9200).

Pourquoi c'est important pour la sécurité

Kibana est une fenêtre directe sur Elasticsearch. Tant que les fonctions de sécurité Elastic ne sont pas configurées, il se lie souvent à 0.0.0.0 sans authentification ; quiconque atteint 5601 peut donc parcourir les tableaux de bord ainsi que les journaux, métriques et enregistrements sous-jacents. Kibana a aussi connu de graves failles d'exécution de code comme CVE-2019-7609, le RCE par pollution de prototype de Timelion, rendant l'exposition particulièrement dangereuse.

Comment c'est attaqué

Les attaquants scannent les ports 5601 ouverts et chargent les tableaux de bord sans identifiants pour exfiltrer des données sensibles et reconnaître l'environnement. Ils utilisent l'interface et sa console pour pivoter vers Elasticsearch sur 9200, et contre les versions non corrigées ils exploitent le RCE Timelion (CVE-2019-7609) pour exécuter du code sur l'hôte Kibana, transformant un tableau de bord en point d'ancrage.

Liste de durcissement

Liez Kibana à localhost ou à une interface privée via server.host et gardez 5601 hors d'Internet. Activez la sécurité de la pile Elastic (authentification et RBAC), exigez TLS, et placez un reverse proxy authentifiant devant l'accès distant. Limitez 5601 par pare-feu aux hôtes de confiance, segmentez-le du cluster Elasticsearch et maintenez les deux à jour. Utilisez l'extrait nmap ci-dessus pour détecter les instances exposées sur les hôtes que vous êtes autorisé à tester.

Ports liés

Port 9200Port 9300Port 9092Port 443

Questions fréquentes

Est-il sûr d'exposer Kibana sur le port 5601 ?
Non. Sans la pile de sécurité Elastic, Kibana n'a aucune authentification et expose toutes les données Elasticsearch sous-jacentes. Liez à localhost, activez l'authentification et TLS, et limitez le port par pare-feu.
Qu'était le RCE Timelion de Kibana ?
CVE-2019-7609 était une faille de pollution de prototype dans le visualiseur Timelion permettant à un attaquant d'exécuter du code arbitraire sur l'hôte Kibana. Appliquez les correctifs et restreignez l'accès à 5601.