印度麦当劳McDelivery应用曝出严重清静误差

宣布时间 2024-12-26

1. 印度麦当劳McDelivery应用曝出严重清静误差


12月21日 ,印度顶级食物外送应用麦当劳 McDelivery 被发明保存严重清静误差。一位研究职员经由详细视察后 ,发明该应用的API保存大宗缺陷 ,允许未经授权会见种种功效。这些误差包括以极低价钱(1卢比 ,即0.01美元)订购商品、挟制其他用户的订单、实时跟踪送货司机并袒露其敏感小我私家信息、会见他人的订单详情和发票 ,以及未经授权审查治理员要害绩效指标报告等。只管麦当劳使用了Angular框架和JWT令牌等基自己份验证步伐 ,但在限制用户对敏感数据会见方面仍保存缺乏。其中一个突出误差涉及使用购物车商品价钱 ,另一个重大误差允许黑客挟制正在举行的订单。这些误差不但组成手艺缺陷 ,还严重威胁用户隐私和麦当劳声誉。品德黑客编写了详尽报告并提交给McDelivery误差赏金妄想 ,麦当劳在90天限期内修复了所有误差 ,并奖励了黑客。


https://cybersecuritynews.com/mcdonalds-delivery-app-vulnerability/


2. 匹兹堡交通局遭勒索软件攻击 ,公共交通服务中止


12月25日 ,匹兹堡地区交通局(PRT)最近遭遇了勒索软件攻击 ,导致公共交通服务严重中止。该机构周一体现正在起劲应对这一在12月19日首次发明的攻击 ,执法部分和网络清静专家已介入视察。只管铁路服务在19日早上一度中止 ,但现在交通服务已恢复正常运行。然而 ,一些旅客服务仍受到影响 ,例如PRT的客户服务中心暂时无法接受或处置惩罚晚年人和儿童的ConnectCards。PRT的IT官员正在视察数据是否被盗 ,并允许在视察历程中提供最新新闻。机构拒绝透露攻击背后的组织以及何时恢复周全服务。据报道 ,由于此次攻击 ,火车晚点了20多分钟。PRT每年客流量靠近4000万人次 ,是该州第二至公共交通机构 ,提供700多辆公交车和80辆轻轨等服务。公共交通的中止和客户数据的窃取已成为勒索软件团伙继续针对此类政府机构的主要缘故原由之一。


https://therecord.media/pittsburgh-regional-transit-attributes-disruptions-to-ransomware-attack


3. Apache 流量控制修复高危SQL注入误差CVE-2024-45387


12月26日 ,Apache 软件基金会 (ASF) 克日宣布了针对其流量控制软件中的一个严重清静误差的清静更新。该误差被标记为 CVE-2024-45387 ,CVSS 评分高达 9.9 ,是一个 SQL 注入误差 ,保存于 Traffic Control 的 8.0.0 至 8.0.1 版本中。Traffic Control 是一种用于建设内容分发网络的解决计划 ,旨在高效地向用户分发内容。该误差允许具有特定角色的特权用户(如 admin、federation、operations、portal 或 steering)通过发送特制的 PUT 请求 ,对数据库执行恣意 SQL 下令。ASF 建议受影响的用户升级到 Apache Traffic Control 8.0.2 版本以修复此误差。值得注重的是 ,流量控制 7.0.0 版本及之前的版本不受此误差影响。别的 ,本月初 ASF 还宣布了另一个清静更新 ,以解决 Struts 2 中与 OGNL 手艺相关的远程代码执行误差(CVE-2020-17530)。


https://securityaffairs.com/172307/security/apache-traffic-control-critical-flaw.html


4. 伊朗黑客组织Charming Kitten安排BellaCiao C++变体恶意软件


12月25日 ,伊朗民族国家黑客组织Charming Kitten正在安排已知恶意软件BellaCiao的C++变体 ,被俄罗斯网络清静公司卡巴斯基命名为BellaCPP。BellaCiao首次于2023年4月被纪录 ,是一个能够转达特殊有用载荷的自界说投放器 ,已在针对美国、中东和印度的网络攻击中安排。Charming Kitten隶属于伊朗伊斯兰革命卫队 ,多年来开发了众多定制恶意软件家族。虽然该组织曾通过社会工程运动撒播恶意软件 ,但涉及BellaCiao的攻击会使用可果真会见应用程序中的清静误差。BellaCiao的C++变体是一个名为“adhapl.dll”的DLL文件 ,实现与其祖先类似的功效 ,但缺少用于上传和下载恣意文件以及运行下令的Web shell。BellaCPP使用了先前归因于Charming Kitten的域名。


https://thehackernews.com/2024/12/irans-charming-kitten-deploys-bellacpp.html


5. Picus Labs报告:深入剖析OilRig的网络特工运动与战术


12月24日 ,OilRig(又称 APT34 或 Helix Kitten)是一个伊朗政府支持的网络特工行为者 ,以其针对中东要害行业的精准行动而著名。Picus Labs 在其最新报告中深入研究了 OilRig 的生长历程、历史运动及其使用的先进战术。自2016年泛起以来 ,OilRig 展现了恒久长期性和隐身性 ,通过鱼叉式网络垂纶运动和安排 Helminth 后门等先进恶意软件工具 ,对沙特阿拉伯等国家的组织举行攻击。其攻击规模已扩大到中东地区的政府实体、能源部分和手艺提供商 ,使用的工具也从早期的 Helminth 恶意软件生长为更重大的有用载荷 ,如 QUADAGENT 和 ISMAgent。OilRig 还使用零日误差和最近披露的误差 ,如 CVE-2024-30088 ,获得系统级会见权限 ,安排自界说 STEALHOOK 后门举行恒久监控和数据泄露。该组织还针对供应链提倡攻击 ,使用手艺提供商内被盗的账户提倡更普遍的攻击。


https://securityonline.info/cve-2024-30088-under-attack-oilrig-targets-windows-kernel-vulnerability/


6. 美国成瘾治疗中心遭网络攻击 ,超40万名患者信息泄露


12月24日 ,美国成瘾治疗中心(AAC)是一家营利性连锁机构 ,最近遭遇网络清静事务 ,导致422,424人的小我私家纪录泄露 ,包括姓名、地点、电话号码、出生日期、医疗纪录号等信息 ,但治疗信息或支付卡数据未受影响。该事务爆发在9月23日至9月26日时代 ,AAC已连忙睁开视察 ,并通知执法部分和约请第三方网络清静专家协助。现在尚未发明与该事务有关的身份偷窃或诓骗行为。此次泄密事务还影响了AAC的隶属供应商的客户 ,包括 AdCare、Greenhouse、Desert Hope Center等。近期 ,多家医疗服务提供商成为网络清静攻击的目的 ,如Regional Care、静脉修复中心(CVR)和安娜雅克医院(AJH) ,这些机构通常掩护不力 ,但生涯的数据很是有价值 ,攻击者可以使用泄露的信息举行康健身份诓骗。


https://cybernews.com/news/patients-exposed-addiction-treatment-hack/