HPE Alletra and Nimble Storage Vulnerability Grants Admin Access to Remote Attacker
2026/01/23 CyberSecurityNews ―― HPE のストレージ・プラットフォームに影響を及ぼす、深刻な権限昇格の脆弱性を悪用するリモート攻撃者は、物理的な操作を必要とせずに、管理者アクセスを取得する可能性がある。この脆弱性 CVE-2026-23594 により、脆弱なファームウェア・バージョンを実行している HPE Alletra 6000/Alletra 5000/Nimble Storage アレイに影響が生じている。
この脆弱性は、影響を受けるストレージ OS の特定のコンフィグに存在しており、悪用が成功すると、リモートでの権限昇格を許す可能がある。
脆弱性 CVE-2026-23594 の CVSS v3.1 スコアは 8.8 (High) であり、攻撃の複雑性は低く、必要とされる権限も低レベルである。そのため、ストレージ・システムがネットワークに公開されているエンタープライズ環境が、きわめて危険な状況にある。
| CVE ID | CVSS 3.1 Vector | CVSS Score | Severity | Impact Type | Attack Vector |
|---|---|---|---|---|---|
| CVE-2026-23594 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | 8.8 | High | Remote Privilege Elevation | Network |
HPE のセキュリティ・ブリテン HPESBST04995 によると、この脆弱性の悪用に成功した攻撃者は、機密性/完全性/可用性の大きな影響を及ぼし、システム全体の侵害に至るという。
攻撃ベクターはネットワーク経由であり、ユーザー操作は不要である。それにより脅威アクターは、限定的なユーザー・アカウントから完全な管理者アカウントへと権限を昇格できる。
影響を受ける製品およびバージョン
この脆弱性は、Array OS バージョンを実行している、複数の HPE ストレージ製品ラインに影響する。以下のプラットフォームを使用している組織は、是正対応を最優先にすべきである。
| Product | Affected Versions |
|---|---|
| HPE Alletra 6000 | < 6.1.2.8006.1.3 < 6.1.3.300 |
| HPE Alletra 5000 | < 6.1.2.8006.1.3 < 6.1.3.300 |
| Nimble Storage Hybrid Flash | < 6.1.2.8006.1.3 < 6.1.3.300 |
| Nimble Storage All Flash | < 6.1.2.8006.1.3 < 6.1.3.300 |
2026年1月20日に HPE は、この権限昇格の脆弱性に対処するセキュリティ・パッチを公開した。管理者にとって必要なことは、影響を受けるシステムを、以下の修正済みバージョンへと速やかにアップグレードすることである。
- Alletra OS 6.1.2.800
- Alletra OS 6.1.3.300
このパッチにより、権限昇格を可能にしていたコンフィグ上の弱点が解消され、ストレージ管理インターフェイスにおける適切なアクセス制御が復元される。
エンタープライズ向けストレージ・システムは、業務上の極めて重要なデータを保持しており、本番環境におけるシングルポイント・オブ・フェイリアになる可能性が高い。したがって、不正な管理者アクセスが発生すると、機密情報の流出やランサムウェアの展開に加えて、データセンター全体にわたるストレージ運用の妨害に至るとされる。
ユーザー組織は、脆弱性 CVE-2026-23594 を高優先度の問題として扱い、変更管理手順に従ってパッチを展開すべきである。
HPE がユーザーに推奨するのは、確立されたパッチ管理ポリシーに従ってサードパーティ製セキュリティ・パッチを適用し、実装に関する支援が必要な場合は、HPE Services サポートへ連絡することである。
HPE のストレージ製品において、ネットワーク経由での管理者権限の乗っ取りを、一般ユーザーに許してしまう、深刻な脆弱性が発見されました。ストレージを動かす OS (Array OS) の特定のコンフィグに不備があり、本来行われるべきアクセス制限が正しく機能しなかったことに、この脆弱性の原因があります
この脆弱性 CVE-2026-23594 は、HPE Alletra 6000 や Nimble Storage などの、エンタープライズ向け主力製品に影響します。攻撃者は物理的に装置に触れる必要はなく、ネットワーク経由で低レベルのユーザー・アカウントからログインするだけで、システム全体の操作が可能な管理者アカウントへと権限を昇格させることが可能です。ご利用のチームは、ご注意ください。よろしければ、HPE での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.