Référence des ports
Port 8161 (TCP) – Apache ActiveMQ web console
Port par défaut de la console web Apache ActiveMQ (Jetty), l'interface d'administration HTTP et de gestion Jolokia du broker.
État par défaut
ActiveMQ livre la console web avec les identifiants admin/admin par défaut. Si 8161 est exposé, les attaquants obtiennent l'administration du broker et l'accès à l'API de gestion.
Attaques courantes
- Connexion avec les identifiants admin/admin par défaut de la console web
- Administration du broker et manipulation des files d'attente via la console
- Abus de l'API Jolokia/de gestion pour des changements de configuration
- Pivot vers le broker OpenWire sur 61616 (ex. RCE CVE-2023-46604)
Durcissement
- Changer immédiatement les identifiants admin/admin par défaut
- Lier la console à localhost ou à une interface privée ; limiter 8161 par pare-feu
- Restreindre ou désactiver l'API de gestion Jolokia là où elle est inutilisée
- Placer la console derrière un reverse proxy avec authentification et TLS
- Appliquer rapidement les correctifs ActiveMQ (notamment pour CVE-2023-46604)
Commande nmap
nmap -p8161 --script http-title <target>Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.
Que tourne sur le port 8161 ?
Le port 8161 est le port par défaut de la console web Apache ActiveMQ, une interface d'administration HTTP hébergée par Jetty pour le broker de messages. Les opérateurs l'utilisent pour gérer files d'attente et topics, voir les connexions et envoyer des messages de test, et elle expose aussi une API Jolokia/de gestion. Le protocole de transport du broker, OpenWire, tourne séparément sur 61616.
Pourquoi c'est important pour la sécurité
La console accorde l'administration complète du broker, donc exposer 8161 cède le contrôle de l'épine dorsale de messagerie. ActiveMQ la livre avec les identifiants admin/admin par défaut, et une console exposée indique presque toujours que l'hôte exécute aussi le broker OpenWire sur 61616 — frappé par la RCE non authentifiée CVE-2023-46604.
Comment c'est attaqué
Les attaquants atteignent 8161 et essaient admin/admin par défaut pour se connecter, puis manipulent les files d'attente, lisent les messages et changent la configuration via la console et l'API Jolokia. Découvrir 8161 est aussi un fort signal pour pivoter vers 61616 et tenter CVE-2023-46604 pour une exécution de code à distance non authentifiée sur l'hôte du broker.
Liste de durcissement
Changez immédiatement les identifiants admin/admin par défaut. Liez la console à localhost ou à une interface privée et limitez 8161 par pare-feu. Restreignez ou désactivez l'API de gestion Jolokia là où elle est inutilisée, et placez la console derrière un reverse proxy avec authentification et TLS. Appliquez les correctifs ActiveMQ rapidement, notamment pour CVE-2023-46604. Utilisez l'extrait nmap ci-dessus pour vérifier l'exposition sur les hôtes que vous êtes autorisé à tester.
Ports liés
Questions fréquentes
- Quels sont les identifiants par défaut de la console web ActiveMQ ?
- Apache ActiveMQ livre la console web avec admin/admin. Si 8161 est exposé et que le mot de passe n'est pas changé, un attaquant obtient l'administration complète du broker. Changez les identifiants et limitez le port par pare-feu.
- La console ActiveMQ est-elle liée à CVE-2023-46604 ?
- CVE-2023-46604 est une RCE non authentifiée dans le protocole OpenWire sur 61616, pas la console elle-même. Mais un 8161 exposé signale un hôte ActiveMQ qui expose probablement aussi le 61616 vulnérable.