Una falla en la terminal PAX PoS podría permitir a los atacantes alterar las transacciones


17 de enero de 2024Sala de redacciónDatos financieros/vulnerabilidad

Los terminales de punto de venta (PoS) de PAX Technology se ven afectados por una colección de vulnerabilidades de alta gravedad que los actores de amenazas pueden utilizar como arma para ejecutar código arbitrario.

El equipo de I+D de STM Cyber, que realizó ingeniería inversa en los dispositivos basados ​​en Android fabricados por la firma china debido a su rápido despliegue en Polonia, dicho se desenterró media docena de defectos que permiten la escalada de privilegios y la ejecución de código local desde el gestor de arranque.

La seguridad cibernética

Actualmente se mantienen ocultos los detalles sobre una de las vulnerabilidades (CVE-2023-42133). Los otros defectos se enumeran a continuación:

  • CVE-2023-42134 y CVE-2023-42135 (Puntuación CVSS: 7,6) – Ejecución de código local como root mediante inyección de parámetros del kernel en fastboot (Impacts PAX A920Pro/PAX A50)
  • CVE-2023-42136 (Puntuación CVSS: 8,8) – Escalamiento de privilegios de cualquier usuario/aplicación al usuario del sistema a través del servicio expuesto a carpeta de inyección de shell (Afecta a todos los dispositivos PAX PoS basados ​​en Android)
  • CVE-2023-42137 (Puntuación CVSS: 8,8) – Escalamiento de privilegios desde el usuario del sistema/shell al root a través de operaciones inseguras en el demonio systool_server (Afecta a todos los dispositivos PAX PoS basados ​​en Android)
  • CVE-2023-4818 (Puntuación CVSS: 7,3) – Degradación del gestor de arranque mediante tokenización inadecuada (Impactos PAX A920)

La explotación exitosa de las debilidades antes mencionadas podría permitir a un atacante elevar sus privilegios a root y eludir las protecciones del sandboxing, obteniendo efectivamente carta blanca para realizar cualquier operación.

La seguridad cibernética

Esto incluye interferir con las operaciones de pago para “modificar los datos que la aplicación comercial envía al [Secure Processor]que incluye el importe de la transacción”, dijeron los investigadores de seguridad Adam Kliś y Hubert Jasudowicz.

Vale la pena mencionar que explotar CVE-2023-42136 y CVE-2023-42137 requiere que un atacante tenga acceso de shell al dispositivo, mientras que los tres restantes requieren que el actor de la amenaza tenga acceso físico USB.

La empresa de pruebas de penetración con sede en Varsovia dijo que reveló responsablemente las fallas a PAX Technology a principios de mayo de 2023, tras lo cual esta última lanzó los parches en noviembre de 2023.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57