HPE AutoPass License Server erlaubt Umgehung der Authentifizierung

Im HPE AutoPass License Server (APLS) haben IT-Sicherheitsforscher von Trend Micros Zero-Day-Initiative (ZDI) eine schwerwiegende Sicherheitslücke aufgespürt, die Angreifern Zugriff unter Umgehung der Authentifizierung erlaubt. Aktualisierte Software soll das richten.

Hewlett Packard Enterprise warnt in einem Support-Beitrag vor der Schwachstelle. Details finden sich dort nicht, HPE schreibt lediglich: „Eine potenzielle Schwachstelle wurde in HPE AutoPass License Server (APLS) entdeckt. Sie könnte aus der Ferne missbraucht werden und erlaubt die Umgehung der Authentifizierung“ (CVE-2026-23600, CVSS [v3.1] 7.3, Risiko „hoch“). Laut CVE-Eintrag landet die Einstufung nach CVSS4 jedoch bei 10.0 und somit der Risiko-Einstufung als „kritisch“.

HPE APLS-Lücke: Betroffene Systeme

Unter den betroffenen Systemen nennen die Autoren insbesondere die HPE StoreOnce Virtual Storage Appliance (VSA). HPE StoreOnce ist ein Cloud-Backup-System. Die virtuelle Appliance läuft dabei in einer virtuellen Maschine. Der HPE AutoPass License Server dient der Verwaltung und Verteilung von Softwarelizenzen. HPE hält sich bedeckt mit Informationen darüber, was Angreifer mit dem unbefugten Zugang anstellen können – aufgrund des Schweregrads der Lücke ist jedoch wahrscheinlich, dass sie das System kompromittieren und nicht lediglich die Lizenzverteilung selbst manipulieren können.

Die Sicherheitslücke soll laut der Autoren des Support-Beitrags in Version HPE AutoPass License Server (APLS) 9.19 oder neuer geschlossen sein. Diese steht auf einer eigenen Download-Seite zur Verfügung. IT-Verantwortliche sollten die aktuelle Fassung zügig installieren.

Vor etwa einem Monat wurden Schwachstellen in der Netzwerk-Verwaltungssoftware HPE Aruba Fabric Composer bekannt. Angreifer haben dadurch Schadcode auf verwundbare Instanzen geschoben und diese so kompromittieren können.

(dmk)