Référence des ports
Port 5672 (TCP) – AMQP (RabbitMQ)
Port par défaut d'AMQP 0-9-1, le protocole de messagerie utilisé par les brokers RabbitMQ.
État par défaut
RabbitMQ est livré avec un compte guest/guest par défaut ; dans les configurations anciennes ou mal réglées, le broker se lie largement et l'interface de gestion sur 15672 peut aussi être accessible, exposant files d'attente et identifiants.
Attaques courantes
- Connexion avec les identifiants guest/guest par défaut pour lire et publier des messages
- Interception de messages et altération des files d'attente sur AMQP non chiffré
- Accès à l'interface/API de gestion sur 15672 pour un contrôle total du broker
- Divulgation des vhosts, des files d'attente et des charges utiles des messages
Durcissement
- Supprimer ou restreindre l'utilisateur guest par défaut ; imposer des identifiants forts
- Lier à une interface privée et limiter 5672 (et 15672) par pare-feu aux hôtes de confiance
- Exiger TLS pour AMQP et l'interface de gestion
- Utiliser des vhosts et des permissions par utilisateur pour segmenter l'accès
- Maintenir RabbitMQ et Erlang à jour et auditer les accès
Commande nmap
nmap -p5672 --script amqp-info <target>Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.
Que tourne sur le port 5672 ?
Le port 5672 est le port par défaut d'AMQP 0-9-1, le protocole Advanced Message Queuing utilisé par les brokers RabbitMQ. Producteurs et consommateurs se connectent via 5672 pour publier et consommer des messages au travers d'échanges et de files d'attente, découplant les services dans les systèmes distribués. L'interface/API de gestion associée tourne généralement sur 15672 et la variante TLS (AMQPS) sur 5671.
Pourquoi c'est important pour la sécurité
RabbitMQ transporte les messages qui relient les services ; un broker exposé fuit donc des données métier et permet aux attaquants d'injecter ou de supprimer du trafic. RabbitMQ est livré avec un compte guest/guest par défaut, et l'AMQP en clair sur 5672 est non chiffré, donc identifiants et charges utiles peuvent être interceptés. Si l'interface de gestion sur 15672 est aussi accessible, un attaquant obtient le contrôle total du broker.
Comment c'est attaqué
Les attaquants scannent les ports 5672 ouverts et essaient les identifiants guest/guest par défaut pour lire et publier des messages. Sur les connexions non chiffrées, ils interceptent et altèrent le trafic des messages, et ils sondent le 15672 pour l'interface/API de gestion afin d'énumérer les vhosts et les files d'attente ou d'en prendre le contrôle. Les charges utiles divulguées révèlent souvent des données applicatives internes et d'autres identifiants.
Liste de durcissement
Supprimez ou restreignez l'utilisateur guest par défaut et imposez des identifiants forts. Liez RabbitMQ à une interface privée et limitez 5672 et 15672 par pare-feu aux hôtes de confiance. Exigez TLS (AMQPS sur 5671) pour la messagerie et l'interface de gestion, utilisez des vhosts et des permissions par utilisateur pour segmenter l'accès, et maintenez RabbitMQ et Erlang à jour. Utilisez l'extrait nmap ci-dessus pour vérifier l'exposition sur les hôtes que vous êtes autorisé à tester.
Ports liés
Questions fréquentes
- Quels sont les identifiants RabbitMQ par défaut ?
- RabbitMQ crée un compte guest/guest par défaut qui, dans les anciennes versions, pouvait se connecter à distance. Supprimez ou restreignez l'utilisateur guest, définissez des identifiants forts et limitez les ports 5672 et 15672 par pare-feu.
- Le trafic AMQP sur le port 5672 est-il chiffré ?
- Pas par défaut — le 5672 en clair n'est pas chiffré, donc messages et identifiants peuvent être interceptés. Utilisez AMQPS sur 5671 ou activez TLS, et exigez-le aussi pour l'interface de gestion.