HPE AutoPass Vulnerability Allows Remote Attackers to Bypass Authentication
2026/03/03 gbhackers — Hewlett Packard Enterprise (HPE) が公表したのは、HPE AutoPass License Server (APLS) に存在するリモート認証バイパスの脆弱性に関する情報である。この脆弱性 CVE-2026-23600 を悪用する未認証の攻撃者は、ネットワーク経由でログイン制御を回避できるようになる。
技術詳細
この脆弱性は HPE AutoPass License Server (APLS) に存在し、リモートからの悪用により、認証バイパスを許す可能性がある。HPE によると、悪用に成功した攻撃者は、通常の認証を完了せずに保護機能へ到達可能であるとのことだ。
HPE は CVE-2026-23600 に対して、(CVSS V3.1:7.3) を付与している。攻撃ベクターは、CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L である。ネットワーク経由で到達可能/攻撃複雑度は低/特権不要/ユーザー操作不要を示している。
この脆弱性が影響を及ぼす範囲は、HPE AutoPass License Server の 9.19 未満であると、アドバイザリに明記されている。第三者レポートも、認証バイパスが可能である点と、9.19 以降へのアップグレードにより解決する点を再確認している。
この脆弱性は、Trend Micro Zero Day Initiative と協力する匿名報告者により、責任あるかたちで開示されたと、HPE は述べている。
緩和ガイダンス
HPE が強く指摘するのは、HPE AutoPass License Server (APLS) のバージョン 9.19 以降へのアップデートである。
運用上の指針として、HPE ソフトウェアを実行するシステム上のサードパーティ・セキュリティ パッチも、顧客のパッチ マネージメント・ポリシーに従い適用する必要がある。以下の対策をライセンス・サーバに実施し、高価値インフラとして扱うべきである。
- APLS が未信頼ネットワークから到達可能でないことを確認。
- ファイアウォールでMan/Admin ポートへのアクセスを制限。
- VPN または専用マネージメント・ネットワークの背後へ配置。
- APLS Web/サービス・エンドポイントへの異常アクセスを監視。
- 認証セッションなしで特権操作へ到達しているリクエストを確認。
- パッチ適用前後の認証ログおよびアクセスログの精査と異常の特定。
HPE のライセンス管理システム AutoPass License Server (APLS) に、リモートからの認証バイパスを許してしまう深刻な脆弱性 CVE-2026-23600 が発見されました。この問題の原因は、APLS のログイン制御ロジックに不備があり、本来であれば正規の ID とパスワードが必要な保護機能に対して、未認証のリモート攻撃者が直接アクセスする可能性が生じています。
この脆弱性は、攻撃の複雑さが低いと評価されており、特別な権限やユーザーの操作を必要とせずに悪用が可能なものです。この不備を突く攻撃者は、ライセンス管理権限を不正に取得する恐れがあり、企業のソフトウェア資産やインフラの運用に支障をきたすというリスクが生じます。ご利用のチームは、ご注意ください。よろしければ、HPE での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.