Skip to content
PortsDB

Référence des ports

Port 5631 (TCP) – pcAnywhere

Canal de données de contrôle à distance Symantec pcAnywhere pour l'accès graphique hérité aux hôtes Windows.

tcpRegisteredSouvent attaqué

État par défaut

Ouvert sur les hôtes exécutant le service hôte pcAnywhere abandonné. Ne devrait pas être présent sur les systèmes modernes ; là où il survit, il est souvent non corrigé.

Attaques courantes

  • Débordements de tampon pré-authentification dans le service hôte pcAnywhere
  • Force brute de l'authentification pcAnywhere faible
  • Recherche d'hôtes 5631 hérités exposés pour obtenir un contrôle distant
  • Écoute clandestine de sessions mal chiffrées

CVE-2011-3478CVE-2012-0292

Durcissement

  • Retirer pcAnywhere — il est en fin de vie et non maintenu
  • S'il doit fonctionner, ne jamais exposer le 5631 à Internet ; protéger derrière un VPN
  • Restreindre les IP sources et exiger une authentification forte
  • Appliquer les derniers correctifs de sécurité Symantec s'il est encore installé
  • Migrer vers une solution d'accès distant maintenue

Commande nmap

nmap -p5631 --script banner <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 5631

Le port 5631 est le canal de données de Symantec pcAnywhere, un produit de contrôle à distance autrefois populaire qui offrait un accès graphique aux hôtes Windows. L'hôte pcAnywhere écoute sur le 5631 (avec l'UDP 5632 utilisé pour le statut/la découverte), et un opérateur distant pilote le bureau à la manière de VNC ou de RDP. Le produit est désormais abandonné et non maintenu.

Pourquoi c'est important pour la sécurité

pcAnywhere est un logiciel hérité avec des failles graves et documentées, dont des vulnérabilités de débordement de tampon comme CVE-2011-3478 et CVE-2012-0292. Après la fuite de son code source en 2012, Symantec lui-même a conseillé de désactiver le produit jusqu'à correction. Tout hôte écoutant encore sur le 5631 exécute du code non maintenu qui attire les scanners et constitue une cible de choix pour une compromission distante.

Comment c'est attaqué

Les attaquants recherchent les 5631 ouverts et identifient le service hôte via sa bannière. Contre les installations non corrigées, ils exploitent les débordements de tampon pré-authentification pour l'exécution de code à distance, ou brute-forcent l'authentification faible. Les sessions au chiffrement médiocre peuvent aussi être interceptées, exposant frappes et identifiants.

Liste de durcissement

La bonne réponse est de retirer entièrement pcAnywhere — il est en fin de vie. Si un hôte doit temporairement continuer à l'exécuter, n'exposez jamais le 5631 à Internet, protégez-le derrière un VPN, restreignez les IP sources, exigez une authentification forte et appliquez les derniers correctifs Symantec. Planifiez une migration vers une solution d'accès distant maintenue et utilisez la commande nmap ci-dessus pour trouver les hôtes résiduels que vous êtes autorisé à évaluer.

Ports liés

Port 5632Port 3389Port 5900Port 5938

Questions fréquentes

pcAnywhere peut-il encore être utilisé sans risque ?
Non. pcAnywhere est en fin de vie et présente des vulnérabilités de débordement de tampon bien documentées. La fuite de son code source en 2012 a poussé Symantec à conseiller de le désactiver. Migrez vers un outil supporté.
À quoi sert le port 5632 avec pcAnywhere ?
pcAnywhere utilise le TCP 5631 pour le canal de données/contrôle et l'UDP 5632 pour la découverte d'hôtes (statut). Les deux devraient être fermés en bordure Internet.