aldebaran33 Vulnerability PoS PAX 4af083e6 13a8 413b b0cb 602bc123dd1b
Multilingua Vulnerabilità / / Di

Vulnerabilità dei PoS PAX potrebbero manomettere le transazioni

I terminali point-of-sale (PoS) di PAX Technology sono stati colpiti da una serie di vulnerabilità ad alta gravità che potrebbero essere sfruttate da attori di minacce per eseguire codice arbitrario. Il team di ricerca e sviluppo di STM Cyber, che ha eseguito il reverse engineering dei dispositivi basati su Android prodotti dalla società cinese a causa del loro rapido dispiegamento in Polonia, ha rilevato sei difetti che consentono l’escalation dei privilegi e l’esecuzione locale di codice dal bootloader.

Dettagli sulle Vulnerabilità

Annuncio

Le vulnerabilità identificate sono le seguenti:

  • CVE-2023-42134 & CVE-2023-42135 (punteggio CVSS: 7.6) – Esecuzione di codice locale come root tramite iniezione di parametro del kernel in fastboot (Influisce su PAX A920Pro/PAX A50).
  • CVE-2023-42136 (punteggio CVSS: 8.8) – Escalation dei privilegi da qualsiasi utente/applicazione a utente di sistema tramite shell injection in un servizio esposto tramite binder (Influisce su tutti i dispositivi PoS Android-based di PAX).
  • CVE-2023-42137 (punteggio CVSS: 8.8) – Escalation dei privilegi da utente di sistema/shell a root tramite operazioni insicure nel demone systool_server (Influisce su tutti i dispositivi PoS Android-based di PAX).
  • CVE-2023-4818 (punteggio CVSS: 7.3) – Downgrade del bootloader tramite tokenizzazione impropria (Influisce su PAX A920).

L’exploit di queste vulnerabilità potrebbe consentire a un attaccante di elevare i propri privilegi a root e bypassare le protezioni di sandboxing, ottenendo di fatto libero accesso per eseguire qualsiasi operazione.

Impatto e Mitigazione

Ciò include interferire con le operazioni di pagamento per “modificare i dati che l’applicazione del commerciante invia al [Processore Sicuro], che include l’importo della transazione”, secondo quanto affermato dai ricercatori di sicurezza Adam Kliś e Hubert Jasudowicz. È importante notare che per sfruttare CVE-2023-42136 e CVE-2023-42137 è necessario che un attaccante abbia accesso alla shell del dispositivo, mentre per le altre tre vulnerabilità è necessario che l’attore di minaccia abbia accesso fisico USB al dispositivo.

La società di penetration test con sede a Varsavia ha riferito di aver divulgato responsabilmente le falle a PAX Technology all’inizio di maggio 2023, e successivamente la PAX ha rilasciato delle patch a novembre 2023.

Annuncio

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.

Leggi anche

Torna in alto