Référence des ports
Port 61613 (TCP) – STOMP (ActiveMQ)
Port par défaut de STOMP, le Simple Text Oriented Messaging Protocol, couramment activé sur les brokers Apache ActiveMQ.
État par défaut
Quand le connecteur STOMP est activé, ActiveMQ écoute sur 61613. Avec les identifiants admin/admin par défaut ou l'accès anonyme, les brokers exposés permettent de lire et d'injecter des messages.
Attaques courantes
- Connexion avec les identifiants ActiveMQ par défaut via STOMP
- Abonnement aux files d'attente/topics pour lire le trafic de messages
- Injection de messages dans les destinations applicatives
- Pivot vers le broker OpenWire sur 61616 (ex. RCE CVE-2023-46604)
Durcissement
- Changer les identifiants admin/admin par défaut et désactiver l'accès anonyme
- Désactiver le connecteur STOMP s'il n'est pas requis
- Utiliser STOMP sur TLS (couramment 61614) au lieu du 61613 en clair
- Lier à une interface privée et limiter 61613 par pare-feu aux hôtes de confiance
- Appliquer une autorisation de destination par utilisateur et maintenir ActiveMQ à jour
Commande nmap
nmap -p61613 --script banner <target>Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.
Que tourne sur le port 61613 ?
Le port 61613 est le port par défaut de STOMP, le Simple Text Oriented Messaging Protocol, un cadrage lisible par l'humain couramment activé sur les brokers Apache ActiveMQ. Les clients se connectent via un protocole texte simple pour s'abonner à des destinations (files d'attente et topics) et y envoyer des messages, facilitant l'intégration entre langages. La variante TLS tourne généralement sur 61614, et le protocole de transport principal d'ActiveMQ, OpenWire, sur 61616.
Pourquoi c'est important pour la sécurité
STOMP donne un accès direct aux messages du broker, donc un 61613 exposé laisse les attaquants lire et injecter le trafic qui pilote les applications. ActiveMQ peut accepter les identifiants admin/admin par défaut ou des connexions anonymes, et STOMP en clair est non chiffré. Un 61613 ouvert signale aussi un hôte ActiveMQ exposant probablement le broker OpenWire sur 61616, cible de la RCE CVE-2023-46604.
Comment c'est attaqué
Les attaquants se connectent via STOMP et essaient les identifiants par défaut, puis s'abonnent aux destinations pour lire le trafic de messages et envoient des messages dans les destinations applicatives pour influencer les services. Découvrir 61613 incite aussi à pivoter vers 61616 pour tenter CVE-2023-46604 en vue d'une exécution de code à distance non authentifiée.
Liste de durcissement
Changez les identifiants admin/admin par défaut et désactivez l'accès anonyme. Désactivez le connecteur STOMP s'il n'est pas requis, et utilisez STOMP sur TLS (couramment 61614) au lieu du 61613 en clair. Liez à une interface privée et limitez 61613 par pare-feu aux hôtes de confiance, appliquez une autorisation de destination par utilisateur, et maintenez ActiveMQ à jour. Utilisez l'extrait nmap ci-dessus pour vérifier l'exposition sur les hôtes que vous êtes autorisé à tester.
Ports liés
Questions fréquentes
- Qu'est-ce que STOMP sur le port 61613 ?
- STOMP est le Simple Text Oriented Messaging Protocol, un cadrage lisible pour la messagerie souvent activé sur Apache ActiveMQ. Le 61613 en clair permet aux clients de se connecter et d'échanger des messages ; la variante TLS utilise généralement 61614.
- Le port 61613 est-il affecté par CVE-2023-46604 ?
- CVE-2023-46604 vise le protocole OpenWire sur 61616, pas STOMP. Mais un 61613 ouvert indique un broker ActiveMQ qui expose probablement aussi le 61616 vulnérable ; corrigez et limitez les deux par pare-feu.