PAX Technology’nin satış noktası (PoS) terminalleri, tehdit aktörleri tarafından keyfi kod yürütmek üzere silah haline getirilebilecek bir dizi yüksek önemdeki güvenlik açıklarından etkileniyor.
Çinli firmanın Polonya’da hızla yaygınlaşması nedeniyle ürettiği Android tabanlı cihazlara tersine mühendislik uygulayan STM Siber Ar-Ge ekibi, söz konusu ortaya çıkardı yarım düzine kusur ayrıcalık yükseltmeye ve önyükleyiciden yerel kod yürütmeye izin veren.
Güvenlik açıklarından birine (CVE-2023-42133) ilişkin ayrıntılar şu anda gizli tutulmuştur. Diğer kusurlar aşağıda listelenmiştir –
- CVE-2023-42134 ve CVE-2023-42135 (CVSS puanı: 7,6) – Fastboot’ta çekirdek parametre enjeksiyonu aracılığıyla kök olarak yerel kod yürütme (Impacts PAX A920Pro/PAX A50)
- CVE-2023-42136 (CVSS puanı: 8,8) – Kabuk enjeksiyon bağlayıcıya maruz kalan hizmet aracılığıyla herhangi bir kullanıcıdan/uygulamadan sistem kullanıcısına ayrıcalık yükseltme (Tüm Android tabanlı PAX PoS cihazlarını etkiler)
- CVE-2023-42137 (CVSS puanı: 8,8) – Systool_server arka plan programındaki güvenli olmayan işlemler yoluyla sistem/kabuk kullanıcısından root’a ayrıcalık artışı (Tüm Android tabanlı PAX PoS cihazlarını etkiler)
- CVE-2023-4818 (CVSS puanı: 7,3) – Uygun olmayan tokenizasyon nedeniyle önyükleyicinin sürümünün düşürülmesi (PaX A920’yi etkiler)
Bahsedilen zayıflıkların başarılı bir şekilde kullanılması, bir saldırganın sanal alan korumalarını köklendirme ve atlama ayrıcalıklarını yükseltmesine ve herhangi bir işlemi gerçekleştirmek için etkili bir şekilde tam yetki erişimi elde etmesine olanak tanıyabilir.
Bu, “tüccar uygulamasının satıcıya gönderdiği verileri değiştirmek” amacıyla ödeme işlemlerine müdahale etmeyi içerir. [Secure Processor]Güvenlik araştırmacıları Adam Kliś ve Hubert Jasudowicz, işlem tutarını da içeren bir işlem olduğunu söyledi.
CVE-2023-42136 ve CVE-2023-42137’den yararlanmanın bir saldırganın cihaza kabuk erişimine sahip olmasını gerektirdiğini, geri kalan üçünün ise tehdit aktörünün fiziksel USB erişimine sahip olmasını gerektirdiğini belirtmekte fayda var.
Varşova merkezli penetrasyon testi şirketi, Mayıs 2023’ün başlarında PAX Technology’deki kusurları sorumlu bir şekilde açıkladığını ve ardından yamaların Kasım 2023’te PAX Technology tarafından yayınlandığını söyledi.