Una falla en la terminal PAX PoS podría permitir a los atacantes alterar las transacciones

17 de enero de 2024Sala de redacciónDatos financieros/vulnerabilidad

Los terminales de punto de venta (PoS) de PAX Technology se ven afectados por una colección de vulnerabilidades de alta gravedad que los actores de amenazas pueden utilizar como arma para ejecutar código arbitrario.

El equipo de I+D de STM Cyber, que realizó ingeniería inversa en los dispositivos basados en Android fabricados por la firma china debido a su rápido despliegue en Polonia, dicho se desenterró media docena de defectos que permiten la escalada de privilegios y la ejecución de código local desde el gestor de arranque.

Actualmente se mantienen ocultos los detalles sobre una de las vulnerabilidades (CVE-2023-42133). Los otros defectos se enumeran a continuación:

CVE-2023-42134 y CVE-2023-42135 (Puntuación CVSS: 7,6) – Ejecución de código local como root mediante inyección de parámetros del kernel en fastboot (Impacts PAX A920Pro/PAX A50)

CVE-2023-42136 (Puntuación CVSS: 8,8) – Escalamiento de privilegios de cualquier usuario/aplicación al usuario del sistema a través del servicio expuesto a carpeta de inyección de shell (Afecta a todos los dispositivos PAX PoS basados en Android)

CVE-2023-42137 (Puntuación CVSS: 8,8) – Escalamiento de privilegios desde el usuario del sistema/shell al root a través de operaciones inseguras en el demonio systool_server (Afecta a todos los dispositivos PAX PoS basados en Android)

CVE-2023-4818 (Puntuación CVSS: 7,3) – Degradación del gestor de arranque mediante tokenización inadecuada (Impactos PAX A920)

La explotación exitosa de las debilidades antes mencionadas podría permitir a un atacante elevar sus privilegios a root y eludir las protecciones del sandboxing, obteniendo efectivamente carta blanca para realizar cualquier operación.

Esto incluye interferir con las operaciones de pago para «modificar los datos que la aplicación comercial envía al [Secure Processor]que incluye el importe de la transacción», dijeron los investigadores de seguridad Adam Kliś y Hubert Jasudowicz.

Vale la pena mencionar que explotar CVE-2023-42136 y CVE-2023-42137 requiere que un atacante tenga acceso de shell al dispositivo, mientras que los tres restantes requieren que el actor de la amenaza tenga acceso físico USB.

La empresa de pruebas de penetración con sede en Varsovia dijo que reveló responsablemente las fallas a PAX Technology a principios de mayo de 2023, tras lo cual esta última lanzó los parches en noviembre de 2023.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.

ttn-es-57

El Parlamento Europeo adopta la Ley de IA

Georgina Verbaan es criticada tras extraña aparición en televisión: ‘¡Qué payaso!’

Colaboraciones del diseñador de destino Isaac Mizrahi Ensayo de Anna Sui

¡Mira EN VIVO el partido Borussia Dortmund – PSV Eindhoven! (Comentario en vivo del partido Borussia Dortmund – PSV Eindhoven) Liga de Campeones de la UEFA

Una falla en la terminal PAX PoS podría permitir a los atacantes alterar las transacciones