Référence des ports
Port 9092 (TCP) – Apache Kafka
Port broker par défaut d'Apache Kafka, la plateforme distribuée de streaming d'événements et de messagerie.
État par défaut
Les brokers Kafka écoutent sur 9092 sans authentification ni chiffrement par défaut ; tout client atteignant le port peut donc lister les topics, consommer les messages et produire des données.
Attaques courantes
- Accès non authentifié pour lister les topics et consommer toutes les données de messages
- Production ou suppression de messages et de topics pour altérer les pipelines
- Divulgation de données métier et personnelles diffusées en flux
- Pivotement via les métadonnées, dont le ZooKeeper de coordination sur 2181
Durcissement
- Activer l'authentification (SASL) et l'autorisation (ACL)
- Lier à une interface privée et limiter 9092 par pare-feu aux hôtes de confiance uniquement
- Exiger TLS pour le trafic client et inter-broker
- Protéger le ZooKeeper de coordination (2181) et les métadonnées
- Maintenir Kafka à jour et auditer l'accès aux topics
Commande nmap
nmap -p9092 --script banner <target>Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.
Que tourne sur le port 9092 ?
Le port 9092 est le port broker par défaut d'Apache Kafka, une plateforme distribuée de streaming d'événements utilisée comme bus de messages à haut débit. Les producteurs publient des enregistrements dans des topics et les consommateurs les lisent via 9092, tandis que les brokers coordonnent les partitions et les offsets. Les déploiements anciens s'appuient aussi sur ZooKeeper (2181) pour les métadonnées du cluster.
Pourquoi c'est important pour la sécurité
Les pipelines Kafka transportent souvent des événements métier, des journaux et des données personnelles sensibles. Par défaut, les brokers écoutent sur 9092 sans authentification ni chiffrement ; tout client atteignant le port peut donc lister les topics et consommer tous les messages, ou produire et supprimer des données pour corrompre les systèmes en aval. Les métadonnées divulguées, dont le ZooKeeper de coordination, facilitent d'autres compromissions.
Comment c'est attaqué
Les attaquants scannent les ports 9092 ouverts et se connectent sans identifiants pour énumérer les topics et consommer les données de messages, exfiltrant tout ce qui est diffusé. Ils produisent ou suppriment aussi des messages et des topics pour altérer les pipelines, et récoltent les métadonnées du cluster — atteignant souvent le ZooKeeper sur 2181 — pour pivoter plus profondément dans la plateforme de données.
Liste de durcissement
Activez l'authentification (SASL) et l'autorisation (ACL), et exigez TLS pour le trafic client et inter-broker. Liez les brokers à une interface privée et limitez 9092 par pare-feu aux hôtes de confiance uniquement. Protégez le ZooKeeper de coordination (2181) et les métadonnées, maintenez Kafka à jour et auditez l'accès aux topics. Utilisez l'extrait nmap ci-dessus pour vérifier l'exposition sur les hôtes que vous êtes autorisé à tester.
Ports liés
Questions fréquentes
- Apache Kafka exige-t-il une authentification par défaut ?
- Non. Par défaut, les brokers Kafka acceptent les connexions sur 9092 sans authentification ni chiffrement, donc tout client peut consommer et produire des données. Activez l'authentification SASL, les ACL et TLS, et limitez le port par pare-feu.
- Pourquoi un broker Kafka exposé est-il dangereux ?
- Les flux Kafka transportent souvent des événements métier et des données personnelles. Un broker ouvert laisse les attaquants lire chaque topic, injecter ou supprimer des messages et découvrir les métadonnées du cluster, dont le ZooKeeper sur 2181 pour pivoter davantage.