Hewlett Packard Enterprise (HPE)は、HPE AutoPass License Server (APLS)のリモート認証バイパス脆弱性を公開しました。この脆弱性により、認証されていない攻撃者がネットワーク経由でログイン制御をバイパスできる可能性があります。
この問題はCVE-2026-23600として追跡されており、APLS 9.19以降で修正されています。
| 項目 | 詳細 |
|---|---|
| ベンダー報告 | HPESBGN05003 rev.1(セキュリティ報告書)、初版発行2026年2月27日、最終更新2026年2月28日。 |
| CVE | CVE-2026-23600(NVDエントリ利用可能)。 |
| 影響 | リモート認証バイパス(有効な認証情報なしの不正アクセス)。 |
| 影響を受けるバージョン / 修正済み | APLS 9.19より前のバージョンが影響を受けます。APLS 9.19以降にアップグレードして修正してください。 |
技術的な詳細
HPEは脆弱性が存在すると述べていますHPE AutoPass License Server (APLS)に「認証バイパスを許可するためにリモートで悪用される可能性がある」という意味です。つまり、攻撃者は通常の認証を完了しなくても保護された機能にアクセスできる可能性があります。
HPEはこの問題をCVE-2026-23600に関連付け、CVSS v3.1で7.3のスコアを与えています。ベクトルはCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:Lで、ネットワーク到達可能性、低い攻撃複雑性、必要な権限なし、ユーザーインタラクションなしを示しています。
報告書には影響を受けるバージョンのみが記載されており、HPEは「HPE AutoPass License Server – 9.19より前」を影響を受けるものとして特定しています。
報告書は、Trend Micro Zero Day Initiative(HPEが説明する)と協力している匿名の報告者がHPEに問題を責任を持って報告したことを評価しています。
サードパーティの記事は、この欠陥が認証バイパスを可能にし、9.19以降へのアップグレードが問題を解決することを改めて述べています。
軽減ガイダンス
HPEの主な修復方法は、HPE AutoPass License Server (APLS)をバージョン9.19以降に更新することです。
運用ガイダンスについて、HPEはまた、HPEソフトウェアを実行しているシステムに対する任意のサードパーティセキュリティパッチは、顧客のパッチ管理ポリシーに従って適用する必要があることに注意しています。
アップグレード以上のことについて、防御者はライセンスサーバーを高価値インフラストラクチャとして扱い、露出を減らす必要があります。APLSが信頼できないネットワークから到達可能かどうかを確認し、ファイアウォールで管理・管理ポートへのアクセスを制限し、VPNまたは専用管理ネットワークの背後にサービスを配置します。
APLSウェブ・サービスエンドポイントへの予期しないアクセスパターン(例えば、事前認証セッションなしに特権アクションに到達すると思われるリクエスト)を監視し、パッチ適用時間前後の異常についての認証およびアクセスログを確認します。
翻訳元: https://gbhackers.com/hpe-autopass-vulnerability/
