[4]印度麦当劳McDelivery应用曝出严重安全漏洞-小百科

小百科,大世界
1. 印度麦当劳McDelivery应用曝出严重安全漏洞 12月21日，印度顶级食品外送应用麦当劳 McDelivery 被发现存在严重安全漏洞。一位研究人员经过详细调查后，发现该应用的API存在大量缺陷，允许未经授权访问各种功能。这些漏洞包括以极低价格（1卢比，即0.01美元）订购商品、劫持其他用户的订单、实时跟踪送货司机并暴露其敏感个人信息、访问他人的订单详情和发票，以及未经授权查看管理员关键绩效指标报告等。尽管麦当劳使用了Angular框架和JWT令牌等基本身份验证措施，但在限制用户对敏感数据访问方面仍存在不足。其中一个突出漏洞涉及操纵购物车商品价格，另一个重大漏洞允许黑客劫持正在进行的订单。这些漏洞不仅构成技术缺陷，还严重威胁用户隐私和麦当劳声誉。道德黑客编写了详尽报告并提交给McDelivery漏洞赏金计划，麦当劳在90天期限内修复了所有漏洞，并奖励了黑客。 /mcdonalds-delivery-app-vulnerability/ 2. 匹兹堡交通局遭勒索软件攻击，公共交通服务中断 12月25日，匹兹堡地区交通局（PRT）最近遭遇了勒索软件攻击，导致公共交通服务严重中断。该机构周一表示正在积极应对这一在12月19日首次发现的攻击，执法部门和网络安全专家已介入调查。尽管铁路服务在19日早上一度中断，但目前交通服务已恢复正常运行。然而，一些乘客服务仍受到影响，例如PRT的客户服务中心暂时无法接受或处理老年人和儿童的ConnectCards。PRT的IT官员正在调查数据是否被盗，并承诺在调查过程中提供最新消息。机构拒绝透露攻击背后的组织以及何时恢复全面服务。据报道，由于此次攻击，火车晚点了20多分钟。PRT每年客流量接近4000万人次，是该州第二大公共交通机构，提供700多辆公交车和80辆轻轨等服务。公共交通的中断和客户数据的窃取已成为勒索软件团伙继续针对此类政府机构的主要原因之一。 https://therecord.media/pittsburgh-regional-transit-attributes-disruptions-to-ransomware-attack 3. Apache 流量控制修复高危SQL注入漏洞CVE-2024-45387 12月26日，Apache 软件基金会 (ASF) 近日发布了针对其流量控制软件中的一个严重安全漏洞的安全更新。该漏洞被标记为 CVE-2024-45387，CVSS 评分高达 9.9，是一个 SQL 注入漏洞，存在于 Traffic Control 的 8.0.0 至 8.0.1 版本中。Traffic Control 是一种用于建立内容分发网络的解决方案，旨在高效地向用户分发内容。该漏洞允许具有特定角色的特权用户（如 admin、federation、operations、portal 或 steering）通过发送特制的 PUT 请求，对数据库执行任意 SQL 命令。ASF 建议受影响的用户升级到 Apache Traffic Control 8.0.2 版本以修复此漏洞。值得注意的是，流量控制 7.0.0 版本及之前的版本不受此漏洞影响。此外，本月初 ASF 还发布了另一个安全更新，以解决 Struts 2 中与 OGNL 技术相关的远程代码执行漏洞（CVE-2020-17530）。 /172307/security/apache-traffic-control-critical-flaw.html 4. 伊朗黑客组织Charming Kitten部署BellaCiao C++变体恶意软件 12月25日，伊朗民族国家黑客组织Charming Kitten正在部署已知恶意软件BellaCiao的C++变体，被俄罗斯网络安全公司卡巴斯基命名为BellaCPP。BellaCiao首次于2023年4月被记录，是一个能够传递额外有效载荷的自定义投放器，已在针对美国、中东和印度的网络攻击中部署。Charming Kitten隶属于伊朗伊斯兰革命卫队，多年来开发了众多定制恶意软件家族。虽然该组织曾通过社会工程活动传播恶意软件，但涉及BellaCiao的攻击会利用可公开访问应用程序中的安全漏洞。BellaCiao的C++变体是一个名为“adhapl.dll”的DLL文件，实现与其祖先类似的功能，但缺少用于上传和下载任意文件以及运行命令的Web shell。BellaCPP使用了先前归因于Charming Kitten的域名。 /2024/12/irans-charming-kitten-deploys-bellacpp.html 5. Picus Labs报告：深入解析OilRig的网络间谍活动与战术 12月24日，OilRig（又称 APT34 或 Helix Kitten）是一个伊朗政府支持的网络间谍行为者，以其针对中东关键行业的精准行动而闻名。Picus Labs 在其最新报告中深入研究了 OilRig 的发展历程、历史活动及其使用的先进战术。自2016年出现以来，OilRig 展现了长期持久性和隐身性，通过鱼叉式网络钓鱼活动和部署 Helminth 后门等先进恶意软件工具，对沙特阿拉伯等国家的组织进行攻击。其攻击范围已扩大到中东地区的政府实体、能源部门和技术提供商，使用的工具也从早期的 Helminth 恶意软件发展为更复杂的有效载荷，如 QUADAGENT 和 ISMAgent。OilRig 还利用零日漏洞和最近披露的漏洞，如 CVE-2024-30088，获得系统级访问权限，部署自定义 STEALHOOK 后门进行长期监控和数据泄露。该组织还针对供应链发起攻击，利用技术提供商内被盗的账户发起更广泛的攻击。 https://securityonline.info/cve-2024-30088-under-attack-oilrig-targets-windows-kernel-vulnerability/ 6. 美国成瘾治疗中心遭网络攻击，超40万名患者信息泄露 12月24日，美国成瘾治疗中心（AAC）是一家营利性连锁机构，最近遭遇网络安全事件，导致422,424人的个人记录泄露，包括姓名、地址、电话号码、出生日期、医疗记录号等信息，但治疗信息或支付卡数据未受影响。该事件发生在9月23日至9月26日期间，AAC已立即展开调查，并通知执法部门和聘请第三方网络安全专家协助。目前尚未发现与该事件有关的身份盗窃或欺诈行为。此次泄密事件还影响了AAC的附属供应商的客户，包括 AdCare、Greenhouse、Desert Hope Center等。近期，多家医疗服务提供商成为网络安全攻击的目标，如Regional Care、静脉修复中心（CVR）和安娜雅克医院（AJH），这些机构通常保护不力，但保存的数据非常有价值，攻击者可以利用泄露的信息进行健康身份欺诈。 /news/patients-exposed-addiction-treatment-hack/ [来源: 启明星辰]
首页 / 计算机 / IT资讯

1. 印度麦当劳McDelivery应用曝出严重安全漏洞

12月21日，印度顶级食品外送应用麦当劳 McDelivery 被发现存在严重安全漏洞。一位研究人员经过详细调查后，发现该应用的API存在大量缺陷，允许未经授权访问各种功能。这些漏洞包括以极低价格（1卢比，即0.01美元）订购商品、劫持其他用户的订单、实时跟踪送货司机并暴露其敏感个人信息、访问他人的订单详情和发票，以及未经授权查看管理员关键绩效指标报告等。尽管麦当劳使用了Angular框架和JWT令牌等基本身份验证措施，但在限制用户对敏感数据访问方面仍存在不足。其中一个突出漏洞涉及操纵购物车商品价格，另一个重大漏洞允许黑客劫持正在进行的订单。这些漏洞不仅构成技术缺陷，还严重威胁用户隐私和麦当劳声誉。道德黑客编写了详尽报告并提交给McDelivery漏洞赏金计划，麦当劳在90天期限内修复了所有漏洞，并奖励了黑客。

/mcdonalds-delivery-app-vulnerability/

2. 匹兹堡交通局遭勒索软件攻击，公共交通服务中断

12月25日，匹兹堡地区交通局（PRT）最近遭遇了勒索软件攻击，导致公共交通服务严重中断。该机构周一表示正在积极应对这一在12月19日首次发现的攻击，执法部门和网络安全专家已介入调查。尽管铁路服务在19日早上一度中断，但目前交通服务已恢复正常运行。然而，一些乘客服务仍受到影响，例如PRT的客户服务中心暂时无法接受或处理老年人和儿童的ConnectCards。PRT的IT官员正在调查数据是否被盗，并承诺在调查过程中提供最新消息。机构拒绝透露攻击背后的组织以及何时恢复全面服务。据报道，由于此次攻击，火车晚点了20多分钟。PRT每年客流量接近4000万人次，是该州第二大公共交通机构，提供700多辆公交车和80辆轻轨等服务。公共交通的中断和客户数据的窃取已成为勒索软件团伙继续针对此类政府机构的主要原因之一。

https://therecord.media/pittsburgh-regional-transit-attributes-disruptions-to-ransomware-attack

3. Apache 流量控制修复高危SQL注入漏洞CVE-2024-45387

12月26日，Apache 软件基金会 (ASF) 近日发布了针对其流量控制软件中的一个严重安全漏洞的安全更新。该漏洞被标记为 CVE-2024-45387，CVSS 评分高达 9.9，是一个 SQL 注入漏洞，存在于 Traffic Control 的 8.0.0 至 8.0.1 版本中。Traffic Control 是一种用于建立内容分发网络的解决方案，旨在高效地向用户分发内容。该漏洞允许具有特定角色的特权用户（如 admin、federation、operations、portal 或 steering）通过发送特制的 PUT 请求，对数据库执行任意 SQL 命令。ASF 建议受影响的用户升级到 Apache Traffic Control 8.0.2 版本以修复此漏洞。值得注意的是，流量控制 7.0.0 版本及之前的版本不受此漏洞影响。此外，本月初 ASF 还发布了另一个安全更新，以解决 Struts 2 中与 OGNL 技术相关的远程代码执行漏洞（CVE-2020-17530）。

/172307/security/apache-traffic-control-critical-flaw.html

4. 伊朗黑客组织Charming Kitten部署BellaCiao C++变体恶意软件

12月25日，伊朗民族国家黑客组织Charming Kitten正在部署已知恶意软件BellaCiao的C++变体，被俄罗斯网络安全公司卡巴斯基命名为BellaCPP。BellaCiao首次于2023年4月被记录，是一个能够传递额外有效载荷的自定义投放器，已在针对美国、中东和印度的网络攻击中部署。Charming Kitten隶属于伊朗伊斯兰革命卫队，多年来开发了众多定制恶意软件家族。虽然该组织曾通过社会工程活动传播恶意软件，但涉及BellaCiao的攻击会利用可公开访问应用程序中的安全漏洞。BellaCiao的C++变体是一个名为“adhapl.dll”的DLL文件，实现与其祖先类似的功能，但缺少用于上传和下载任意文件以及运行命令的Web shell。BellaCPP使用了先前归因于Charming Kitten的域名。

/2024/12/irans-charming-kitten-deploys-bellacpp.html

5. Picus Labs报告：深入解析OilRig的网络间谍活动与战术

12月24日，OilRig（又称 APT34 或 Helix Kitten）是一个伊朗政府支持的网络间谍行为者，以其针对中东关键行业的精准行动而闻名。Picus Labs 在其最新报告中深入研究了 OilRig 的发展历程、历史活动及其使用的先进战术。自2016年出现以来，OilRig 展现了长期持久性和隐身性，通过鱼叉式网络钓鱼活动和部署 Helminth 后门等先进恶意软件工具，对沙特阿拉伯等国家的组织进行攻击。其攻击范围已扩大到中东地区的政府实体、能源部门和技术提供商，使用的工具也从早期的 Helminth 恶意软件发展为更复杂的有效载荷，如 QUADAGENT 和 ISMAgent。OilRig 还利用零日漏洞和最近披露的漏洞，如 CVE-2024-30088，获得系统级访问权限，部署自定义 STEALHOOK 后门进行长期监控和数据泄露。该组织还针对供应链发起攻击，利用技术提供商内被盗的账户发起更广泛的攻击。

https://securityonline.info/cve-2024-30088-under-attack-oilrig-targets-windows-kernel-vulnerability/

6. 美国成瘾治疗中心遭网络攻击，超40万名患者信息泄露

12月24日，美国成瘾治疗中心（AAC）是一家营利性连锁机构，最近遭遇网络安全事件，导致422,424人的个人记录泄露，包括姓名、地址、电话号码、出生日期、医疗记录号等信息，但治疗信息或支付卡数据未受影响。该事件发生在9月23日至9月26日期间，AAC已立即展开调查，并通知执法部门和聘请第三方网络安全专家协助。目前尚未发现与该事件有关的身份盗窃或欺诈行为。此次泄密事件还影响了AAC的附属供应商的客户，包括 AdCare、Greenhouse、Desert Hope Center等。近期，多家医疗服务提供商成为网络安全攻击的目标，如Regional Care、静脉修复中心（CVR）和安娜雅克医院（AJH），这些机构通常保护不力，但保存的数据非常有价值，攻击者可以利用泄露的信息进行健康身份欺诈。

/news/patients-exposed-addiction-treatment-hack/
[来源: 启明星辰]

[4]印度麦当劳McDelivery应用曝出严重安全漏洞 繁體

[4]印度麦当劳McDelivery应用曝出严重安全漏洞 ^繁體