Skip to content
PortsDB

Référence des ports

Port 631 (TCP/UDP) – IPP / CUPS

Internet Printing Protocol — le protocole d'impression moderne basé sur HTTP, servi par CUPS sous Linux/macOS et par les imprimantes réseau.

tcpudpWell-knownSouvent attaqué

État par défaut

Ouvert sur les hôtes Linux/macOS exécutant CUPS et sur la plupart des imprimantes/MFP réseau modernes. L'interface d'administration web écoute aussi ici.

Attaques courantes

  • Chaîne RCE CUPS non authentifiée (CVE-2024-47176 + connexes, via cups-browsed)
  • Énumération d'imprimantes et de files via IPP
  • Interface d'administration web CUPS exposée/non authentifiée
  • Interception de travaux d'impression et injection d'attributs d'imprimante malveillants

CVE-2024-47176CVE-2024-47076CVE-2024-47175CVE-2024-47177

Durcissement

  • Désactiver ou filtrer cups-browsed ; bloquer UDP/631 depuis les réseaux non fiables
  • Lier CUPS à localhost/aux interfaces internes ; exiger l'authentification sur l'UI d'admin
  • Corriger CUPS et le firmware des imprimantes (chaîne RCE de 2024)
  • Utiliser IPP sur TLS (ipps) et désactiver les protocoles d'impression inutilisés
  • Ne jamais exposer le 631 à Internet ; segmenter les imprimantes dans un VLAN

Commande nmap

nmap -p631 --script http-title,http-cups-info,cups-info,cups-queue-info <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui tourne sur le port 631

Le port 631 est le port enregistré pour l'Internet Printing Protocol (IPP), un protocole d'impression moderne basé sur HTTP. Sous Linux et macOS, il est servi par CUPS (Common Unix Printing System), qui expose aussi une interface d'administration web sur le même port. La plupart des imprimantes et MFP réseau actuels parlent IPP sur le 631 également. UDP/631 est utilisé par cups-browsed pour la découverte d'imprimantes.

Pourquoi c'est important pour la sécurité

Comme IPP fonctionne sur HTTP et que CUPS embarque une UI d'administration web, le port 631 est à la fois un point d'impression et une petite application web — tout ce qui y est mal configuré est joignable sur le réseau. En 2024, une grave chaîne de RCE non authentifiée a été divulguée dans la pile CUPS, et les interfaces d'admin exposées et les files découvrables font des imprimantes une cible facile d'énumération et de pivot.

Comment c'est attaqué

La chaîne RCE CUPS de 2024 (CVE-2024-47176 dans cups-browsed, plus CVE-2024-47076, CVE-2024-47175, CVE-2024-47177) permet à un attaquant distant d'envoyer un paquet UDP forgé à cups-browsed, d'ajouter une imprimante malveillante et d'exécuter des commandes lors d'une impression. Les attaquants énumèrent aussi les imprimantes et files, abusent des interfaces d'admin exposées, et injectent des attributs d'imprimante malveillants ou interceptent les travaux.

Liste de durcissement

Désactivez ou filtrez cups-browsed et bloquez UDP/631 depuis les réseaux non fiables. Liez CUPS à localhost ou aux interfaces internes et exigez l'authentification sur l'UI d'admin. Corrigez CUPS et le firmware des imprimantes pour la chaîne de 2024. Préférez IPP sur TLS (ipps), désactivez les protocoles d'impression inutilisés, et placez les imprimantes dans un VLAN dédié — n'exposez jamais le 631 à Internet. Les scripts nmap ci-dessus énumèrent les infos CUPS et les files sur les hôtes que vous êtes autorisé à tester.

Ports liés

Port 515Port 9100Port 80Port 443

Questions fréquentes

Le port 631 est-il dangereux après les vulnérabilités CUPS de 2024 ?
Oui s'il est exposé. La chaîne de 2024 (CVE-2024-47176 et apparentées) permet à un attaquant distant d'atteindre cups-browsed sur UDP/631 et finalement d'exécuter des commandes au démarrage d'un travail d'impression. Corrigez CUPS, désactivez cups-browsed et bloquez le 631 en externe.
Quelle est la différence entre IPP et CUPS sur le 631 ?
IPP est le protocole d'impression ; CUPS est le serveur courant (sous Linux/macOS) qui parle IPP et sert aussi une interface d'administration web sur le port 631.