TR7製品の公式セキュリティ通知
TR7 Application Security Platformにおいて、代替パスの不適切な保護により、認証されたユーザーが昇格された権限を取得できる可能性があるprivilege escalation脆弱性が特定されました。この脆弱性はUSOM(Turkish National Cyber Incident Response Center)を通じて報告され、完全に修復されました。
USOM国家調整センターを通じてセキュリティ勧告を受領
セキュリティアップデートv1.4.26.xを4時間以内に開発、テスト、リリース
ダウンタイムゼロですべてのオンラインアプライアンスに自動更新を展開
手動更新の顧客に連絡し、リモート接続でパッチ適用
エアギャップおよびオフライン展開にオンサイトサポートを提供
オンラインアプライアンスは自動的に更新を受信
サポートチームがリモート接続で顧客の更新を支援
フィールドエンジニアがエアギャップインストールを訪問し、手動でパッチ適用
TR7 WAAPは業界最高水準の応答時間で重大な脆弱性から積極的に保護します
当社の専門セキュリティ研究チームは24時間365日体制で新たな脅威を監視し、脆弱性開示から数時間以内に保護ルールを展開します。TR7 WAAPのお客様は、ほとんどの組織が新しい脅威を認識する前に保護されます。
複数の攻撃ベクトルにわたる包括的なセキュリティカバレッジ
毎日更新される100K以上のブラックリストIPを持つ24の脅威カテゴリ
包括的なWebアプリケーション保護のための71の高度なルールカテゴリ
世界中の数百万のアプリケーションに影響を与えるApache Log4j remote code execution脆弱性
攻撃者が任意のコードを実行できるSpring Framework RCE脆弱性
大規模なDDoS攻撃を可能にするHTTP/2プロトコル脆弱性
SSH認証を標的とするXZ Utils圧縮ライブラリの悪意のあるバックドア
Progress MOVEit Transferの重大なSQL injection脆弱性
管理者アカウント作成を許すAtlassian Confluence privilege escalation
当社の包括的なセキュリティフレームワークは、お客様のインフラストラクチャを確実に保護します
24時間365日のセキュリティオペレーションセンターがグローバルなthreat intelligenceフィードと新たな脆弱性を監視
平均7日以内のパッチ展開、重大な脆弱性は24時間以内に対応
WAAP、DDoS保護、ボット管理、アクセス制御を備えた多層セキュリティアーキテクチャ
脆弱性を積極的に探索し、保護を開発する専門のセキュリティ研究者チーム
セキュリティ研究コミュニティを尊重します
TR7製品にセキュリティ脆弱性を発見したと思われる場合は、責任を持って報告していただくようお願いいたします。潜在的な問題を検証し、対処するため、セキュリティ研究者と協力することをお約束します。
7A5C 4AAD D45A F566 CFC5 DDA3 BA16 113A 2CBF F53B PGP鍵をダウンロード詳細な技術情報とproof of conceptを添えて、security@tr7.comまで調査結果をお送りください
48時間以内に受領を確認し、追跡番号を割り当てます
当社のセキュリティチームが報告を調査、検証し、重大度を評価します
確認された脆弱性の修正を開発、テスト、展開します
パッチ提供後、研究者への謝辞とともに調整された公開開示を実施