印度麦当劳McDelivery应用曝出严重宁静漏洞

首页 > 宁静研究 > 宁静通报 > 宁静简讯

印度麦当劳McDelivery应用曝出严重宁静漏洞

宣布时间 2024-12-26

1. 印度麦当劳McDelivery应用曝出严重宁静漏洞

12月21日，印度顶级食品外送应用麦当劳 McDelivery 被发现存在严重宁静漏洞。一位研究人员经过详细视察后，发现该应用的API存在大量缺陷，允许未经授权访问种种功效。这些漏洞包罗以极低价格（1卢比，即0.01美元）订购商品、劫持其他用户的订单、实时跟踪送货司机并袒露其敏感个人信息、访问他人的订单详情和发票，以及未经授权检察管理员要害绩效指标陈诉等。尽管麦当劳使用了Angular框架和JWT令牌等基自己份验证措施，但在限制用户对敏感数据访问方面仍存在不足。其中一个突出漏洞涉及利用购物车商品价格，另一个重大漏洞允许黑客劫持正在进行的订单。这些漏洞不仅组成技术缺陷，还严重威胁用户隐私和麦当劳声誉。道德黑客编写了详尽陈诉并提交给McDelivery漏洞赏金计划，麦当劳在90天期限内修复了所有漏洞，并奖励了黑客。

https://cybersecuritynews.com/mcdonalds-delivery-app-vulnerability/

2. 匹兹堡交通局遭勒索软件攻击，公共交通服务中断

12月25日，匹兹堡地域交通局（PRT）最近遭遇了勒索软件攻击，导致公共交通服务严重中断。该机构周一体现正在积极应对这一在12月19日首次发现的攻击，执法部门和网络宁静专家已介入视察。尽管铁路服务在19日早上一度中断，但目前交通服务已恢复正常运行。然而，一些搭客服务仍受到影响，例如PRT的客户服务中心暂时无法接受或处置老年人和儿童的ConnectCards。PRT的IT官员正在视察数据是否被盗，并允许在视察过程中提供最新消息�；咕芫嘎豆セ鞅澈蟮淖橹约昂问被指慈娣�。据报道，由于此次攻击，火车晚点了20多分钟。PRT每年客流量接近4000万人次，是该州第二大公共交通机构，提供700多辆公交车和80辆轻轨等服务。公共交通的中断和客户数据的窃取已成为勒索软件团伙继续针对此类政府机构的主要原因之一。

https://therecord.media/pittsburgh-regional-transit-attributes-disruptions-to-ransomware-attack

3. Apache 流量控制修复高危SQL注入漏洞CVE-2024-45387

12月26日，Apache 软件基金会 (ASF) 近日宣布了针对其流量控制软件中的一个严重宁静漏洞的宁静更新。该漏洞被标志为 CVE-2024-45387，CVSS 评分高达 9.9，是一个 SQL 注入漏洞，存在于 Traffic Control 的 8.0.0 至 8.0.1 版本中。Traffic Control 是一种用于建立内容分发网络的解决方案，旨在高效地向用户分发内容。该漏洞允许具有特定角色的特权用户（如 admin、federation、operations、portal 或 steering）通过发送特制的 PUT 请求，对数据库执行任意 SQL 命令。ASF 建议受影响的用户升级到 Apache Traffic Control 8.0.2 版本以修复此漏洞。值得注意的是，流量控制 7.0.0 版本及之前的版本不受此漏洞影响。此外，本月初 ASF 还宣布了另一个宁静更新，以解决 Struts 2 中与 OGNL 技术相关的远程代码执行漏洞（CVE-2020-17530）。

https://securityaffairs.com/172307/security/apache-traffic-control-critical-flaw.html

4. 伊朗黑客组织Charming Kitten部署BellaCiao C++变体恶意软件

12月25日，伊朗民族国家黑客组织Charming Kitten正在部署已知恶意软件BellaCiao的C++变体，被俄罗斯网络宁静公司卡巴斯基命名为BellaCPP。BellaCiao首次于2023年4月被记录，是一个能够通报特别有效载荷的自界说投放器，已在针对美国、中东和印度的网络攻击中部署。Charming Kitten隶属于伊朗伊斯兰革命卫队，多年来开发了众多定制恶意软件家族。虽然该组织曾通过社会工程活动流传恶意软件，但涉及BellaCiao的攻击会利用可果然访问应用法式中的宁静漏洞。BellaCiao的C++变体是一个名为“adhapl.dll”的DLL文件，实现与其祖先类似的功效，但缺少用于上传和下载任意文件以及运行命令的Web shell。BellaCPP使用了先前归因于Charming Kitten的域名。

https://thehackernews.com/2024/12/irans-charming-kitten-deploys-bellacpp.html

5. Picus Labs陈诉：深入解析OilRig的网络间谍活动与战术

12月24日，OilRig（又称 APT34 或 Helix Kitten）是一个伊朗政府支持的网络间谍行为者，以其针对中东要害行业的精准行动而闻名。Picus Labs 在其最新陈诉中深入研究了 OilRig 的生长历程、历史活动及其使用的先进战术。自2016年泛起以来，OilRig 展现了恒久持久性和隐身性，通过鱼叉式网络钓鱼活动和部署 Helminth 后门等先进恶意软件工具，对沙特阿拉伯等国家的组织进行攻击。其攻击范围已扩大到中东地域的政府实体、能源部门和技术提供商，使用的工具也从早期的 Helminth 恶意软件生长为更庞大的有效载荷，如 QUADAGENT 和 ISMAgent。OilRig 还利用零日漏洞和最近披露的漏洞，如 CVE-2024-30088，获得系统级访问权限，部署自界说 STEALHOOK 后门进行恒久监控和数据泄露。该组织还针对供应链提倡攻击，利用技术提供商内被盗的账户提倡更广泛的攻击。

https://securityonline.info/cve-2024-30088-under-attack-oilrig-targets-windows-kernel-vulnerability/

6. 美国成瘾治疗中心遭网络攻击，超40万名患者信息泄露

12月24日，美国成瘾治疗中心（AAC）是一家营利性连锁机构，最近遭遇网络宁静事件，导致422,424人的个人记录泄露，包罗姓名、地址、电话号码、出生日期、医疗记录号等信息，但治疗信息或支付卡数据未受影响。该事件发生在9月23日至9月26日期间，AAC已立即展开视察，并通知执法部门和聘请第三方网络宁静专家协助。目前尚未发现与该事件有关的身份偷窃或欺诈行为。此次泄密事件还影响了AAC的隶属供应商的客户，包罗 AdCare、Greenhouse、Desert Hope Center等。近期，多家医疗服务提供商成为网络宁静攻击的目标，如Regional Care、静脉修复中心（CVR）和安娜雅克医院（AJH），这些机构通常�；げ涣�，但生存的数据非常有价值，攻击者可以利用泄露的信息进行健康身份欺诈。

https://cybernews.com/news/patients-exposed-addiction-treatment-hack/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究