Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Una falla en la terminal PAX PoS podría permitir a los atacantes alterar las transacciones
  • Tecnología

Una falla en la terminal PAX PoS podría permitir a los atacantes alterar las transacciones

teknomers 17 de Ocak de 2024 (Last updated: 17 de Ocak de 2024) 3 minutes read
Una falla en la terminal PAX PoS podría permitir a


17 de enero de 2024Sala de redacciónDatos financieros/vulnerabilidad

Los terminales de punto de venta (PoS) de PAX Technology se ven afectados por una colección de vulnerabilidades de alta gravedad que los actores de amenazas pueden utilizar como arma para ejecutar código arbitrario.

El equipo de I+D de STM Cyber, que realizó ingeniería inversa en los dispositivos basados ​​en Android fabricados por la firma china debido a su rápido despliegue en Polonia, dicho se desenterró media docena de defectos que permiten la escalada de privilegios y la ejecución de código local desde el gestor de arranque.

La seguridad cibernética

Actualmente se mantienen ocultos los detalles sobre una de las vulnerabilidades (CVE-2023-42133). Los otros defectos se enumeran a continuación:

  • CVE-2023-42134 y CVE-2023-42135 (Puntuación CVSS: 7,6) – Ejecución de código local como root mediante inyección de parámetros del kernel en fastboot (Impacts PAX A920Pro/PAX A50)
  • CVE-2023-42136 (Puntuación CVSS: 8,8) – Escalamiento de privilegios de cualquier usuario/aplicación al usuario del sistema a través del servicio expuesto a carpeta de inyección de shell (Afecta a todos los dispositivos PAX PoS basados ​​en Android)
  • CVE-2023-42137 (Puntuación CVSS: 8,8) – Escalamiento de privilegios desde el usuario del sistema/shell al root a través de operaciones inseguras en el demonio systool_server (Afecta a todos los dispositivos PAX PoS basados ​​en Android)
  • CVE-2023-4818 (Puntuación CVSS: 7,3) – Degradación del gestor de arranque mediante tokenización inadecuada (Impactos PAX A920)

La explotación exitosa de las debilidades antes mencionadas podría permitir a un atacante elevar sus privilegios a root y eludir las protecciones del sandboxing, obteniendo efectivamente carta blanca para realizar cualquier operación.

La seguridad cibernética

Esto incluye interferir con las operaciones de pago para “modificar los datos que la aplicación comercial envía al [Secure Processor]que incluye el importe de la transacción”, dijeron los investigadores de seguridad Adam Kliś y Hubert Jasudowicz.

Vale la pena mencionar que explotar CVE-2023-42136 y CVE-2023-42137 requiere que un atacante tenga acceso de shell al dispositivo, mientras que los tres restantes requieren que el actor de la amenaza tenga acceso físico USB.

La empresa de pruebas de penetración con sede en Varsovia dijo que reveló responsablemente las fallas a PAX Technology a principios de mayo de 2023, tras lo cual esta última lanzó los parches en noviembre de 2023.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Multa para el Hertha BSC
Next: Las medusas invaden Venecia, mientras la investigadora Charlie descubre qué le pasó a su amiga desaparecida Jess

Related Stories

Lego enfrenta uno de los mayores mitos de la Nasa
  • Tecnología

Lego enfrenta uno de los mayores mitos de la Nasa (y el resultado es espléndido)

teknomers 12 de Temmuz de 2026
Cómo Orange prepara su red para absorber 2 millones de
  • Tecnología

Cómo Orange prepara su red para absorber 2 millones de clientes más este verano

teknomers 12 de Temmuz de 2026
Para su primera fachada Steam Machine, JSAUX pide a los
  • Tecnología

Para su primera fachada Steam Machine, JSAUX pide a los jugadores que elijan

teknomers 12 de Temmuz de 2026

You May Have Missed

  • General

La Cumbre de Ankara de la OTAN fue más una advertencia que una salida

teknomers 13 de Temmuz de 2026
  • Deporte

Bombas, sangre, emboscadas: por qué los entrenadores de fútbol se entrenan con el ejército

teknomers 13 de Temmuz de 2026
« ¡La Mbappémania nos invade! »: en México, el divertido
  • Deporte

« ¡La Mbappémania nos invade! »: en México, el divertido video de los periodistas de un canal de televisión antes de Francia – España

teknomers 13 de Temmuz de 2026
Fleurance. Ehpad Cadéot: un hermoso viaje a Argelès-sur-Mer para los
  • salud

Fleurance. Ehpad Cadéot: un hermoso viaje a Argelès-sur-Mer para los residentes

teknomers 13 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.