Référence des ports
Port 61616 (TCP) – ActiveMQ OpenWire
Port par défaut d'OpenWire, le protocole de transport binaire natif d'Apache ActiveMQ utilisé par les clients JMS pour se connecter au broker.
État par défaut
ActiveMQ lie OpenWire sur 61616 par défaut. Les brokers exposés peuvent accepter des identifiants par défaut ou des clients anonymes et, non corrigés, sont vulnérables à la RCE non authentifiée CVE-2023-46604.
Attaques courantes
- Exécution de code à distance non authentifiée via CVE-2023-46604
- Connexion avec les identifiants admin/admin par défaut pour contrôler le broker
- Lecture et injection de messages sur les files d'attente et topics
- Pivot depuis la console web sur 8161 vers le broker
Durcissement
- Corriger ActiveMQ vers une version corrigée pour fermer CVE-2023-46604
- Lier OpenWire à une interface privée et limiter 61616 par pare-feu aux hôtes de confiance
- Changer les identifiants admin/admin par défaut et désactiver l'accès anonyme
- Utiliser OpenWire sur TLS (couramment 61617) au lieu du 61616 en clair
- Appliquer une autorisation de destination par utilisateur et auditer les accès au broker
Commande nmap
nmap -p61616 --script banner <target>Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.
Que tourne sur le port 61616 ?
Le port 61616 est le port par défaut d'OpenWire, le protocole de transport binaire natif d'Apache ActiveMQ. Les clients JMS se connectent via 61616 pour publier et consommer des messages sur les files d'attente et topics du broker — c'est le protocole principal du broker, distinct de la console web sur 8161 et de STOMP sur 61613. La variante TLS tourne généralement sur 61617.
Pourquoi c'est important pour la sécurité
Le 61616 est le cœur d'un déploiement ActiveMQ, donc un broker exposé cède aux attaquants l'épine dorsale de messagerie. Surtout, OpenWire non corrigé est vulnérable à CVE-2023-46604, une faille critique d'exécution de code à distance non authentifiée : un paquet forgé fait instancier au broker une classe contrôlée par l'attaquant. Les brokers peuvent aussi accepter admin/admin par défaut ou des clients anonymes.
Comment c'est attaqué
Les attaquants scannent les 61616 ouverts et envoient un paquet OpenWire forgé pour exploiter CVE-2023-46604, obtenant une RCE non authentifiée sur l'hôte du broker. Là où c'est corrigé, ils essaient les identifiants par défaut pour contrôler le broker, lisent et injectent des messages, et pivotent depuis une console web sur 8161 découverte pour confirmer la cible.
Liste de durcissement
Corrigez ActiveMQ vers une version corrigée pour fermer CVE-2023-46604 — c'est la priorité absolue. Liez OpenWire à une interface privée et limitez 61616 par pare-feu aux hôtes de confiance. Changez les identifiants admin/admin par défaut et désactivez l'accès anonyme, utilisez OpenWire sur TLS (couramment 61617), appliquez une autorisation de destination par utilisateur, et auditez les accès. Utilisez l'extrait nmap ci-dessus pour vérifier l'exposition sur les hôtes que vous êtes autorisé à tester.
Ports liés
Questions fréquentes
- Qu'est-ce que CVE-2023-46604 ?
- CVE-2023-46604 est une faille critique d'exécution de code à distance non authentifiée dans le protocole OpenWire d'Apache ActiveMQ sur 61616. Un paquet forgé fait instancier au broker une classe contrôlée par l'attaquant. Corrigez immédiatement et limitez le port par pare-feu.
- Qu'est-ce qu'OpenWire sur le port 61616 ?
- OpenWire est le protocole de transport binaire natif d'ActiveMQ utilisé par les clients JMS pour se connecter au broker sur 61616. Il transporte les messages entre producteurs et consommateurs ; la variante TLS utilise généralement 61617.