Référence des ports
Port 8140 (TCP) – Puppet Server
Port par défaut de Puppet Server — les agents se connectent en TLS mutuellement authentifié pour récupérer catalogues et configuration.
État par défaut
Ouvert sur le serveur Puppet primaire (master) ; utilise TLS avec une autorité de certification gérée par Puppet.
Attaques courantes
- Abus de la signature de certificats pour enrôler des agents pirates ou obtenir des certs de confiance
- Compromission de la CA Puppet menant à une exécution de code à distance massive sur les nœuds
- Altération des catalogues/manifestes pour pousser une configuration malveillante à toute la flotte
- Exploitation de vulnérabilités de Puppet Server / API et de réglages autosign faibles
Durcissement
- Ne jamais exposer le 8140 à Internet ; restreindre aux nœuds gérés et aux réseaux de gestion
- Désactiver l'autosign ouvert/naïf et exiger une signature manuelle ou par politique
- Protéger et sauvegarder la CA Puppet ; faire tourner et révoquer les certificats rapidement
- Imposer le TLS mutuel, le moindre privilège sur les modules et la revue des manifestes
- Maintenir Puppet Server à jour et surveiller les requêtes de certificats et de catalogues
Commande nmap
nmap -p8140 --script ssl-cert,banner <target>Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.
Qu'est-ce qui tourne sur le port 8140 ?
Le port 8140 est le port par défaut de Puppet Server, le plan de contrôle du système de gestion de configuration Puppet. Les agents Puppet des nœuds gérés s'y connectent en TLS mutuellement authentifié pour obtenir des certificats signés de l'autorité de certification intégrée de Puppet et télécharger des catalogues décrivant leur état souhaité — paquets, fichiers, services et commandes à appliquer.
Pourquoi c'est important pour la sécurité
Puppet Server définit ce qui s'exécute sur chaque nœud géré, c'est donc une cible de grande valeur : le contrôle du 8140, ou de la CA Puppet, se traduit par une exécution de code à distance massive sur la flotte. Un autosign mal configuré peut laisser des hôtes arbitraires s'enrôler comme agents de confiance, et des manifestes altérés propagent une configuration malveillante partout en une seule exécution.
Comment il est attaqué
Les attaquants abusent de la signature de certificats — en exploitant un autosign ouvert ou naïf — pour enrôler des agents pirates ou obtenir des certificats de confiance. Ils ciblent la CA Puppet pour un contrôle de toute la flotte, altèrent catalogues et manifestes pour pousser une configuration malveillante, et exploitent les vulnérabilités de Puppet Server ou de l'API et les réglages TLS faibles pour contourner l'authentification.
Liste de durcissement
N'exposez jamais le 8140 à Internet — restreignez-le aux nœuds gérés et aux réseaux de gestion. Désactivez l'autosign ouvert/naïf et exigez une signature de certificats manuelle ou par politique. Protégez et sauvegardez la CA Puppet, faites tourner et révoquez les certificats rapidement, et imposez le TLS mutuel. Appliquez le moindre privilège dans les modules, revoyez les manifestes, maintenez Puppet Server à jour et surveillez les requêtes de certificats et de catalogues. La commande nmap inspecte le certificat et la bannière sur les systèmes que vous êtes autorisé à tester.
Ports liés
Questions fréquentes
- À quoi sert le port 8140 ?
- C'est le port par défaut de Puppet Server. Les agents Puppet s'y connectent en TLS mutuellement authentifié pour demander des certificats signés et télécharger des catalogues qui définissent la configuration souhaitée d'un nœud.
- Pourquoi le port 8140 est-il de grande valeur pour les attaquants ?
- Puppet Server contrôle la configuration de chaque nœud géré. Le compromettre — ou compromettre son autorité de certification — permet de pousser des catalogues malveillants et d'obtenir une exécution de code à distance sur toute la flotte. Restreignez le 8140 aux réseaux gérés et désactivez l'autosign naïf.