首頁 > 安全研究 > 安全通報 > 安全簡訊

印度麥當勞McDelivery應用曝出嚴重安全漏洞

發布時間 2024-12-26

1. 印度麥當勞McDelivery應用曝出嚴重安全漏洞


12月21日,印度頂級食品外送應用麥當勞 McDelivery 被發現存在嚴重安全漏洞。一位研究人員經過詳細調查后,發現該應用的API存在大量缺陷,允許未經授權訪問各種功能。這些漏洞包括以極低價格(1盧比,即0.01美元)訂購商品、劫持其他用戶的訂單、實時跟蹤送貨司機并暴露其敏感個人信息、訪問他人的訂單詳情和發票,以及未經授權查看管理員關鍵績效指標報告等。盡管麥當勞使用了Angular框架和JWT令牌等基本身份驗證措施,但在限制用戶對敏感數據訪問方面仍存在不足。其中一個突出漏洞涉及操縱購物車商品價格,另一個重大漏洞允許黑客劫持正在進行的訂單。這些漏洞不僅構成技術缺陷,還嚴重威脅用戶隱私和麥當勞聲譽。道德黑客編寫了詳盡報告并提交給McDelivery漏洞賞金計劃,麥當勞在90天期限內修復了所有漏洞,并獎勵了黑客。


https://cybersecuritynews.com/mcdonalds-delivery-app-vulnerability/


2. 匹茲堡交通局遭勒索軟件攻擊,公共交通服務中斷


12月25日,匹茲堡地區交通局(PRT)最近遭遇了勒索軟件攻擊,導致公共交通服務嚴重中斷。該機構周一表示正在積極應對這一在12月19日首次發現的攻擊,執法部門和網絡安全專家已介入調查。盡管鐵路服務在19日早上一度中斷,但目前交通服務已恢復正常運行。然而,一些乘客服務仍受到影響,例如PRT的客戶服務中心暫時無法接受或處理老年人和兒童的ConnectCards。PRT的IT官員正在調查數據是否被盜,并承諾在調查過程中提供最新消息。機構拒絕透露攻擊背后的組織以及何時恢復全面服務。據報道,由于此次攻擊,火車晚點了20多分鐘。PRT每年客流量接近4000萬人次,是該州第二大公共交通機構,提供700多輛公交車和80輛輕軌等服務。公共交通的中斷和客戶數據的竊取已成為勒索軟件團伙繼續針對此類政府機構的主要原因之一。


https://therecord.media/pittsburgh-regional-transit-attributes-disruptions-to-ransomware-attack


3. Apache 流量控制修復高危SQL注入漏洞CVE-2024-45387


12月26日,Apache 軟件基金會 (ASF) 近日發布了針對其流量控制軟件中的一個嚴重安全漏洞的安全更新。該漏洞被標記為 CVE-2024-45387,CVSS 評分高達 9.9,是一個 SQL 注入漏洞,存在于 Traffic Control 的 8.0.0 至 8.0.1 版本中。Traffic Control 是一種用于建立內容分發網絡的解決方案,旨在高效地向用戶分發內容。該漏洞允許具有特定角色的特權用戶(如 admin、federation、operations、portal 或 steering)通過發送特制的 PUT 請求,對數據庫執行任意 SQL 命令。ASF 建議受影響的用戶升級到 Apache Traffic Control 8.0.2 版本以修復此漏洞。值得注意的是,流量控制 7.0.0 版本及之前的版本不受此漏洞影響。此外,本月初 ASF 還發布了另一個安全更新,以解決 Struts 2 中與 OGNL 技術相關的遠程代碼執行漏洞(CVE-2020-17530)。


https://securityaffairs.com/172307/security/apache-traffic-control-critical-flaw.html


4. 伊朗黑客組織Charming Kitten部署BellaCiao C++變體惡意軟件


12月25日,伊朗民族國家黑客組織Charming Kitten正在部署已知惡意軟件BellaCiao的C++變體,被俄羅斯網絡安全公司卡巴斯基命名為BellaCPP。BellaCiao首次于2023年4月被記錄,是一個能夠傳遞額外有效載荷的自定義投放器,已在針對美國、中東和印度的網絡攻擊中部署。Charming Kitten隸屬于伊朗伊斯蘭革命衛隊,多年來開發了眾多定制惡意軟件家族。雖然該組織曾通過社會工程活動傳播惡意軟件,但涉及BellaCiao的攻擊會利用可公開訪問應用程序中的安全漏洞。BellaCiao的C++變體是一個名為“adhapl.dll”的DLL文件,實現與其祖先類似的功能,但缺少用于上傳和下載任意文件以及運行命令的Web shell。BellaCPP使用了先前歸因于Charming Kitten的域名。


https://thehackernews.com/2024/12/irans-charming-kitten-deploys-bellacpp.html


5. Picus Labs報告:深入解析OilRig的網絡間諜活動與戰術


12月24日,OilRig(又稱 APT34 或 Helix Kitten)是一個伊朗政府支持的網絡間諜行為者,以其針對中東關鍵行業的精準行動而聞名。Picus Labs 在其最新報告中深入研究了 OilRig 的發展歷程、歷史活動及其使用的先進戰術。自2016年出現以來,OilRig 展現了長期持久性和隱身性,通過魚叉式網絡釣魚活動和部署 Helminth 后門等先進惡意軟件工具,對沙特阿拉伯等國家的組織進行攻擊。其攻擊范圍已擴大到中東地區的政府實體、能源部門和技術提供商,使用的工具也從早期的 Helminth 惡意軟件發展為更復雜的有效載荷,如 QUADAGENT 和 ISMAgent。OilRig 還利用零日漏洞和最近披露的漏洞,如 CVE-2024-30088,獲得系統級訪問權限,部署自定義 STEALHOOK 后門進行長期監控和數據泄露。該組織還針對供應鏈發起攻擊,利用技術提供商內被盜的賬戶發起更廣泛的攻擊。


https://securityonline.info/cve-2024-30088-under-attack-oilrig-targets-windows-kernel-vulnerability/


6. 美國成癮治療中心遭網絡攻擊,超40萬名患者信息泄露


12月24日,美國成癮治療中心(AAC)是一家營利性連鎖機構,最近遭遇網絡安全事件,導致422,424人的個人記錄泄露,包括姓名、地址、電話號碼、出生日期、醫療記錄號等信息,但治療信息或支付卡數據未受影響。該事件發生在9月23日至9月26日期間,AAC已立即展開調查,并通知執法部門和聘請第三方網絡安全專家協助。目前尚未發現與該事件有關的身份盜竊或欺詐行為。此次泄密事件還影響了AAC的附屬供應商的客戶,包括 AdCare、Greenhouse、Desert Hope Center等。近期,多家醫療服務提供商成為網絡安全攻擊的目標,如Regional Care、靜脈修復中心(CVR)和安娜雅克醫院(AJH),這些機構通常保護不力,但保存的數據非常有價值,攻擊者可以利用泄露的信息進行健康身份欺詐。


https://cybernews.com/news/patients-exposed-addiction-treatment-hack/

上一篇 下一篇