Référence des ports
Port 8089 (TCP) – Gestion Splunk (splunkd)
Port de gestion REST de Splunk (splunkd) utilisé par l'API de gestion et la communication entre composants.
État par défaut
Ouvert par défaut sur les instances Splunk, lié à toutes les interfaces ; utilise HTTPS mais souvent avec le certificat par défaut.
Attaques courantes
- Brute force et password spraying contre l'API de gestion
- Abus de l'API REST pour exécuter des recherches, scripts ou actions admin
- Falsification de requête côté serveur (SSRF) via des fonctionnalités Splunk
- Exploitation de vulnérabilités connues de Splunk Enterprise pour du RCE ou un contournement d'auth
Durcissement
- Ne jamais exposer le 8089 à Internet ; restreindre aux réseaux internes/de gestion et aux IP autorisées
- Remplacer le certificat splunkd par défaut et imposer la vérification TLS
- Utiliser des identifiants admin forts et uniques, faire tourner le secret, activer le MFA si possible
- Appliquer le moindre privilège et désactiver les endpoints REST/entrées scriptées inutiles
- Maintenir Splunk Enterprise à jour et surveiller les logs de l'API de gestion
Commande nmap
nmap -p8089 --script ssl-cert,http-title,http-auth <target>Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.
Qu'est-ce qui tourne sur le port 8089 ?
Le port 8089 est le port de gestion de Splunk, servi par le démon splunkd. Il expose l'API de gestion REST utilisée pour configurer la plateforme, lancer des recherches et coordonner la communication entre composants Splunk — forwarders, indexeurs, serveurs de déploiement et search heads. Il fonctionne en HTTPS, mais les instances conservent souvent le certificat auto-signé par défaut.
Pourquoi c'est important pour la sécurité
L'API de gestion est puissante : elle peut exécuter des recherches, modifier la configuration, gérer les utilisateurs et déclencher des actions scriptées. Une compromission du 8089 peut donc exposer toutes les données ingérées et permettre un pivot dans le déploiement Splunk. Comme splunkd se lie à toutes les interfaces par défaut et que le certificat par défaut est rarement remplacé, les instances exposées sont des cibles courantes et attractives.
Comment il est attaqué
Les attaquants brute-forcent et font du password-spraying sur la connexion de gestion, puis abusent de l'API REST pour lancer des recherches, lire des données ou exécuter des entrées scriptées. Des fonctionnalités Splunk ont servi de vecteur SSRF, et des CVE Splunk Enterprise connues sont enchaînées pour un contournement d'authentification ou une exécution de code à distance. Le certificat par défaut facilite aussi un MITM trivial sur des réseaux mal segmentés.
Liste de durcissement
N'exposez jamais le 8089 à Internet — restreignez-le aux réseaux internes ou de gestion avec des IP autorisées. Remplacez le certificat splunkd par défaut et imposez la vérification TLS, utilisez des identifiants admin forts et uniques, faites tourner le secret partagé et activez le MFA si pris en charge. Appliquez le moindre privilège, désactivez les endpoints REST et entrées scriptées inutiles, maintenez Splunk à jour et surveillez les logs de l'API de gestion. La commande nmap inspecte le certificat, le titre et l'authentification sur les systèmes que vous êtes autorisé à tester.
Ports liés
Questions fréquentes
- À quoi sert le port 8089 ?
- C'est le port de gestion de Splunk pour splunkd — l'API REST utilisée pour la configuration, le lancement de recherches et la communication entre composants Splunk comme les forwarders, indexeurs et search heads.
- Est-il sûr d'exposer le port 8089 à Internet ?
- Non. L'API de gestion permet des actions administratives puissantes et est une cible de brute force et de SSRF. Restreignez le 8089 aux réseaux de gestion internes, autorisez les IP, remplacez le certificat par défaut et maintenez Splunk à jour.