Skip to content
PortsDB

Référence des ports

Port 7547 (TCP) – TR-069 / CWMP

Point d'accès CWMP utilisé par les FAI pour provisionner et gérer à distance les routeurs et CPE des clients via le WAN.

tcpRegisteredSouvent attaqué

État par défaut

Ouvert sur les box/CPE fournis par les FAI pour que l'ACS du fournisseur pousse la configuration. Souvent joignable côté WAN, c'est une cible d'exploitation massive.

Attaques courantes

  • Prise de contrôle massive de routeurs via le ver Mirai/Annie exploitant des failles CWMP
  • Exécution de code à distance via un traitement SOAP/RPC non authentifié
  • Détournement du provisioning pour pousser firmware ou DNS malveillants
  • Scan à l'échelle d'Internet de CPE vulnérables pour bâtir des botnets

Durcissement

  • Ne jamais exposer le 7547 au WAN public ; restreindre aux IP source de l'ACS uniquement
  • Corriger rapidement le firmware des CPE et désactiver CWMP si inutilisé
  • Exiger des connexions ACS authentifiées et protégées par TLS
  • Filtrer le 7547 entrant au bord du FAI et sur l'appareil
  • Surveiller les requêtes de provisioning et changements de config inattendus

Commande nmap

nmap -p7547 --script http-title,banner <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Qu'est-ce qui tourne sur le port 7547 ?

Le port 7547 est le point d'accès standard de TR-069 / CWMP (CPE WAN Management Protocol). Les fournisseurs d'accès Internet l'utilisent pour que leur serveur d'auto-configuration (ACS) provisionne, mette à jour et dépanne à distance les routeurs et CPE des clients via le WAN. L'appareil fait tourner un petit service SOAP/HTTP qui accepte les RPC de gestion du fournisseur.

Pourquoi c'est important pour la sécurité

Comme le 7547 est fréquemment joignable depuis l'Internet public, c'est une surface d'attaque de grande valeur à l'échelle mondiale. Une implémentation CWMP vulnérable permet à un attaquant de pousser firmware, DNS ou config malveillants, ou d'exécuter du code directement sur le routeur — et les box domestiques sont rarement corrigées, donc les failles persistent des années sur des millions d'appareils identiques.

Comment il est attaqué

Le tristement célèbre ver Mirai/Annie s'est propagé en exploitant des failles RPC CWMP sur des routeurs exposés, obtenant une exécution de code à distance non authentifiée et enrôlant des appareils dans des botnets à grande échelle. Les attaquants scannent tout Internet à la recherche de 7547 ouverts, identifient les firmwares vulnérables et détournent le provisioning pour rediriger le DNS ou installer un malware persistant.

Liste de durcissement

N'exposez jamais le 7547 au WAN public — restreignez l'accès entrant aux IP source de l'ACS du FAI uniquement, et filtrez le port au bord du FAI comme sur l'appareil. Corrigez le firmware des CPE rapidement et désactivez CWMP s'il n'est pas utilisé. Exigez des sessions ACS authentifiées et protégées par TLS et surveillez les requêtes de provisioning ou changements de config inattendus. Utilisez la commande nmap pour vérifier l'exposition sur les appareils que vous êtes autorisé à tester. </content>

Ports liés

Port 80Port 443Port 8080Port 53

Questions fréquentes

À quoi sert le port 7547 ?
Il fait tourner TR-069 (CWMP), le protocole utilisé par les FAI pour configurer et gérer à distance les box et CPE via un serveur d'auto-configuration (ACS). Il est généralement joignable depuis le WAN.
Pourquoi le port 7547 est-il dangereux ?
Des failles CWMP sur des routeurs exposés ont permis à des vers comme Mirai/Annie de prendre le contrôle de millions d'appareils. Si le 7547 est ouvert à Internet et le firmware vulnérable, l'exécution de code à distance et l'enrôlement dans un botnet sont possibles.