I terminali point-of-sale (PoS) di PAX Technology sono stati colpiti da una serie di vulnerabilità ad alta gravità che potrebbero essere sfruttate da attori di minacce per eseguire codice arbitrario. Il team di ricerca e sviluppo di STM Cyber, che ha eseguito il reverse engineering dei dispositivi basati su Android prodotti dalla società cinese a causa del loro rapido dispiegamento in Polonia, ha rilevato sei difetti che consentono l’escalation dei privilegi e l’esecuzione locale di codice dal bootloader.
Dettagli sulle Vulnerabilità
Le vulnerabilità identificate sono le seguenti:
- CVE-2023-42134 & CVE-2023-42135 (punteggio CVSS: 7.6) – Esecuzione di codice locale come root tramite iniezione di parametro del kernel in fastboot (Influisce su PAX A920Pro/PAX A50).
- CVE-2023-42136 (punteggio CVSS: 8.8) – Escalation dei privilegi da qualsiasi utente/applicazione a utente di sistema tramite shell injection in un servizio esposto tramite binder (Influisce su tutti i dispositivi PoS Android-based di PAX).
- CVE-2023-42137 (punteggio CVSS: 8.8) – Escalation dei privilegi da utente di sistema/shell a root tramite operazioni insicure nel demone systool_server (Influisce su tutti i dispositivi PoS Android-based di PAX).
- CVE-2023-4818 (punteggio CVSS: 7.3) – Downgrade del bootloader tramite tokenizzazione impropria (Influisce su PAX A920).
L’exploit di queste vulnerabilità potrebbe consentire a un attaccante di elevare i propri privilegi a root e bypassare le protezioni di sandboxing, ottenendo di fatto libero accesso per eseguire qualsiasi operazione.
Impatto e Mitigazione
Ciò include interferire con le operazioni di pagamento per “modificare i dati che l’applicazione del commerciante invia al [Processore Sicuro], che include l’importo della transazione”, secondo quanto affermato dai ricercatori di sicurezza Adam Kliś e Hubert Jasudowicz. È importante notare che per sfruttare CVE-2023-42136 e CVE-2023-42137 è necessario che un attaccante abbia accesso alla shell del dispositivo, mentre per le altre tre vulnerabilità è necessario che l’attore di minaccia abbia accesso fisico USB al dispositivo.
La società di penetration test con sede a Varsavia ha riferito di aver divulgato responsabilmente le falle a PAX Technology all’inizio di maggio 2023, e successivamente la PAX ha rilasciato delle patch a novembre 2023.