Skip to content
PortsDB

Référence des ports

Port 8500 (TCP) – API HTTP HashiCorp Consul

API HTTP et interface web de HashiCorp Consul pour la découverte de services, le magasin KV et les health checks.

tcpRegisteredSouvent attaqué

État par défaut

Ouvert sur les agents/serveurs Consul. Sans ACL, l'API n'est pas authentifiée : quiconque atteint le 8500 peut lire et modifier l'état du cluster.

Attaques courantes

  • API non authentifiée exposée divulguant le catalogue de services et les secrets KV
  • Exécution de code à distance via des script health checks enregistrés
  • Altération de la découverte de services pour rerouter ou empoisonner le trafic
  • Reconnaissance interne en énumérant nœuds, services et métadonnées

Durcissement

  • Activer les ACL Consul avec une politique de refus par défaut
  • Lier l'API à des interfaces privées ; ne jamais exposer le 8500 à Internet
  • Désactiver les script checks ou les restreindre (enable_script_checks=false)
  • Exiger TLS et jetons pour l'accès à l'API
  • Filtrer 8500/8600 aux seuls membres du cluster et clients de confiance

Commande nmap

nmap -p8500 --script http-title,banner <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Qu'est-ce qui tourne sur le port 8500 ?

Le port 8500 sert l'API HTTP de HashiCorp Consul et son interface web. Les applications et les opérateurs l'utilisent pour la découverte de services, le magasin clé/valeur et les health checks à travers un cluster Consul. L'interface DNS de Consul tourne séparément sur le 8600, tandis que le gossip et le RPC utilisent d'autres ports.

Pourquoi c'est important pour la sécurité

Consul détient une cartographie de votre infrastructure ainsi que des secrets dans son magasin KV. Par défaut, l'API n'a aucune authentification tant que les ACL ne sont pas activées : quiconque atteint le 8500 peut lire et modifier l'état du cluster. Pire, Consul peut exécuter des script health checks — une fonctionnalité qui transforme un accès en écriture à l'API en exécution de commandes sur les agents.

Comment il est attaqué

Les attaquants trouvent un 8500 exposé et non authentifié, extraient le catalogue de services et les secrets KV, et énumèrent nœuds et métadonnées pour la reconnaissance interne. Ils altèrent la découverte de services pour rerouter ou empoisonner le trafic, et là où les script checks sont activés, ils enregistrent un check malveillant pour obtenir une exécution de code à distance sur les agents Consul.

Liste de durcissement

Activez les ACL Consul avec une politique de refus par défaut et exigez des jetons pour l'accès à l'API. Liez l'API à des interfaces privées et gardez le 8500 hors de l'Internet public. Désactivez les script checks (enable_script_checks=false) ou restreignez-les strictement, et exigez du TLS pour l'API. Filtrez 8500 et 8600 aux seuls membres du cluster et clients de confiance. Utilisez la commande nmap pour vérifier l'exposition sur les systèmes que vous êtes autorisé à tester. </content>

Ports liés

Port 8600Port 8501Port 8300Port 8080

Questions fréquentes

À quoi sert le port 8500 ?
Il sert l'API HTTP et l'interface web de HashiCorp Consul, utilisées pour la découverte de services, le magasin clé/valeur et les health checks. L'interface DNS de Consul tourne séparément sur le 8600.
Pourquoi une API Consul exposée est-elle dangereuse ?
Sans ACL, quiconque atteint le 8500 peut lire le catalogue de services et les secrets KV, altérer la découverte de services, et même obtenir une RCE via les script health checks. Activez les ACL, exigez TLS et gardez le 8500 hors d'Internet.