Skip to content
PortsDB

Référence des ports

Port 8086 (TCP) – InfluxDB HTTP API

Port par défaut de l'API HTTP d'InfluxDB, utilisée pour écrire et interroger des données chronologiques.

tcpRegisteredSouvent attaqué

État par défaut

InfluxDB peut tourner sur 0.0.0.0:8086 avec l'authentification désactivée par défaut dans les anciennes versions. Les instances exposées divulguent des métriques et, sur les builds vulnérables, permettent un contournement d'authentification.

Attaques courantes

  • Contournement d'authentification via CVE-2019-20933 (secret partagé JWT vide)
  • Lectures non authentifiées pour interroger et extraire les bases chronologiques
  • Divulgation d'informations sur les métriques, noms d'hôtes et l'infrastructure
  • Suppression ou altération des mesures

CVE-2019-20933

Durcissement

  • Activer l'authentification et créer des utilisateurs au moindre privilège ; définir un secret partagé JWT fort
  • Lier à localhost ou à une interface privée ; ne jamais exposer 8086 à Internet
  • Exiger TLS pour l'API HTTP
  • Filtrer 8086 vers les collecteurs et tableaux de bord de confiance
  • Maintenir InfluxDB à jour (corrige CVE-2019-20933) et auditer les accès

Commande nmap

nmap -p8086 --script http-title <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Que tourne sur le port 8086 ?

Le port 8086 est le port par défaut de l'API HTTP d'InfluxDB, utilisée par les clients et agents pour écrire et interroger des données chronologiques comme des métriques, relevés de capteurs et données de supervision. Des tableaux de bord comme Grafana et des collecteurs comme Telegraf envoient des requêtes HTTP à 8086 pour stocker et récupérer des mesures.

Pourquoi c'est important pour la sécurité

InfluxDB contient souvent des métriques opérationnelles et d'infrastructure qui révèlent noms d'hôtes, topologie et schémas d'usage. Les anciennes versions désactivaient l'authentification par défaut, et la CVE-2019-20933 permet un contournement d'authentification lorsque l'authentification JWT utilise un secret partagé vide. Un port 8086 exposé risque donc à la fois la divulgation de données et des écritures non autorisées.

Comment c'est attaqué

Les attaquants scannent les ports 8086 ouverts et interrogent l'API soit sans authentification, soit en exploitant la CVE-2019-20933 pour forger des jetons JWT et contourner l'authentification. Ils extraient alors les bases chronologiques, récoltent des détails d'infrastructure et peuvent supprimer ou altérer des mesures pour perturber la supervision.

Liste de durcissement

Activez l'authentification avec des utilisateurs au moindre privilège et définissez un secret partagé JWT fort. Liez InfluxDB à localhost ou à une interface privée, exigez TLS pour l'API HTTP et filtrez 8086 vers les collecteurs et tableaux de bord de confiance. Corrigez vers une version qui résout la CVE-2019-20933 et auditez les accès. Utilisez l'extrait nmap ci-dessus pour détecter les instances exposées sur les hôtes que vous êtes autorisé à tester.

Ports liés

Port 9200Port 27017Port 6379Port 2379

Questions fréquentes

Qu'est-ce que la CVE-2019-20933 dans InfluxDB ?
La CVE-2019-20933 est un contournement d'authentification affectant InfluxDB avant 1.7.6. Lorsque l'authentification JWT est activée avec un secret partagé vide, un attaquant peut forger des jetons et exécuter des requêtes sans identifiants valides. Corrigez et définissez un secret partagé fort.
Est-il sûr d'exposer InfluxDB sur le port 8086 ?
Non. Un InfluxDB exposé divulgue des métriques et des détails d'infrastructure et peut être vulnérable à un contournement d'authentification. Activez l'authentification, exigez TLS, liez à une interface privée et filtrez le port vers les collecteurs de confiance.