Skip to content
PortsDB

Référence des ports

Port 9090 (TCP) – Prometheus

Interface web, API HTTP et interface de requête du serveur de supervision Prometheus ; aussi un port d'administration web générique.

tcpRegisteredSouvent attaqué

État par défaut

Ouvert lorsque Prometheus tourne. Par défaut sans aucune authentification : quiconque atteint le 9090 peut interroger les métriques et accéder aux endpoints d'administration.

Attaques courantes

  • Accès non authentifié aux métriques révélant la topologie interne
  • SSRF et abus de configuration via les cibles de scrape et l'API
  • Reconnaissance interne à partir des labels, cibles et données de découverte
  • Abus de l'API admin (ex. snapshot, lifecycle) lorsqu'elle est activée

Durcissement

  • Ne jamais exposer le 9090 à Internet ; lier à localhost ou un VLAN interne
  • Placer Prometheus derrière un proxy inverse TLS authentifiant
  • Désactiver l'API admin sauf si nécessaire (--web.enable-admin-api)
  • Restreindre les configs de scrape et valider les cibles pour limiter le SSRF
  • Restreindre l'accès par liste d'IP et maintenir Prometheus à jour

Commande nmap

nmap -p9090 --script http-title,http-headers <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Qu'est-ce qui tourne sur le port 9090 ?

Le port 9090 est le port par défaut du serveur de supervision Prometheus. Il sert l'interface web, l'API HTTP et l'interface de requête PromQL utilisée pour explorer métriques, cibles et règles d'alerte. Le port est aussi réutilisé par divers outils d'administration web, mais Prometheus en est de loin l'occupant le plus courant.

Pourquoi c'est important pour la sécurité

Prometheus est livré sans authentification intégrée. Les métriques sont une cartographie détaillée de votre environnement — noms d'hôtes, de services, versions et cibles internes — donc un 9090 exposé offre aux attaquants une reconnaissance interne gratuite. La configuration de scrape et l'API peuvent aussi être détournées pour faire récupérer des URL au serveur, permettant du SSRF contre des services internes.

Comment il est attaqué

Les attaquants atteignent un 9090 non authentifié et interrogent les métriques pour énumérer hôtes, services et versions logicielles à des fins de ciblage. Ils abusent des cibles de scrape et de l'API pour piloter du SSRF vers le réseau interne. Là où l'API admin est activée, ils invoquent les endpoints lifecycle ou snapshot, et les labels et données de découverte alimentent davantage de reconnaissance.

Liste de durcissement

N'exposez jamais le 9090 à Internet — liez-le à localhost ou un VLAN interne et placez Prometheus derrière un proxy inverse TLS authentifiant. Désactivez l'API admin sauf si nécessaire (--web.enable-admin-api désactivé), restreignez les configs de scrape et validez les cibles pour limiter le SSRF, et restreignez l'accès par liste d'IP. Maintenez Prometheus à jour. Utilisez la commande nmap pour vérifier l'exposition sur les systèmes que vous êtes autorisé à tester. </content>

Ports liés

Port 9100Port 3000Port 8080Port 9093

Questions fréquentes

À quoi sert le port 9090 ?
Il fait tourner l'interface web, l'API HTTP et l'interface de requête PromQL du serveur de supervision Prometheus. Il est aussi utilisé par divers outils d'administration web. Prometheus est livré sans authentification intégrée par défaut.
Est-il sûr d'exposer Prometheus sur le 9090 ?
Non. Sans authentification par défaut, quiconque atteint le 9090 peut interroger des métriques qui cartographient votre infrastructure interne et abuser des cibles de scrape pour du SSRF. Liez-le en interne et placez-le derrière un proxy inverse authentifiant.