概要
Hewlett Packard Enterprise (HPE)は、HPE AutoPass License Server (APLS)におけるリモート認証バイパスの脆弱性を公開しました。この脆弱性により、未認証の攻撃者がネットワーク上でログイン制御をバイパスすることが可能となります。
詳細情報
この問題はCVE-2026-23600として追跡されており、APLS 9.19以降のバージョンで修正されています。HPEは、この脆弱性が「リモートから認証バイパスを可能にする」と述べています。
影響
CVE-2026-23600により、攻撃者は正常な認証手順を経ずに保護された機能にアクセスすることが可能です。この脆弱性はCVSS v3.1で7.3のスコアを付けられ、ネットワークからの到達可能性が高く、低い攻撃複雑さ、必要な特権なし、ユーザーとの相互作用なしと評価されています。
影響範囲
HPE AutoPass License Server 9.19以前のバージョンが影響を受けています。修正にはAPLS 9.19以降へのアップグレードが必要です。
対策
- HPEの公式アドバイス: HPE AutoPass License Server (APLS)をバージョン9.19またはそれ以上に更新すること。
- サードパーティ製セキュリティパッチが適用されているシステムでは、顧客のパッチ管理ポリシーに基づいて適用する。
さらに、防御者はライセンスサーバーを高価値インフラストラクチャとして扱い、露出を減らすことを検討すべきです。不審なネットワークからのアクセスを確認し、ファイアウォールで管理ポートへのアクセスを制限するべきです。
監視と対応
- APLSのウェブ/サービスエンドポイントに対する予期しないアクセスパターンをモニタリング。
- パッチ適用時の認証およびアクセスログをレビューし、異常がないか確認する。