Les terminaux de point de vente (PoS) de PAX Technology sont affectés par un ensemble de vulnérabilités de haute gravité qui peuvent être exploitées par les acteurs malveillants pour exécuter du code arbitraire.
L’équipe STM Cyber R&D, qui a procédé à l’ingénierie inverse des appareils Android fabriqués par la société chinoise en raison de leur déploiement rapide en Pologne, dit il a déterré une demi-douzaine de défauts qui permettent l’élévation des privilèges et l’exécution de code local à partir du chargeur de démarrage.
Les détails sur l’une des vulnérabilités (CVE-2023-42133) ont actuellement été retenus. Les autres défauts sont répertoriés ci-dessous –
- CVE-2023-42134 et CVE-2023-42135 (Score CVSS : 7,6) – Exécution de code local en tant que root via l’injection de paramètres du noyau dans fastboot (Impacts PAX A920Pro/PAX A50)
- CVE-2023-42136 (score CVSS : 8,8) – Escalade de privilèges de n’importe quel utilisateur/application à utilisateur du système via un service exposé au classeur d’injection de shell (impacte tous les appareils PAX PoS basés sur Android)
- CVE-2023-42137 (score CVSS : 8,8) – Élévation de privilèges de l’utilisateur système/shell à root via des opérations non sécurisées dans le démon systool_server (impacte tous les appareils PAX PoS basés sur Android)
- CVE-2023-4818 (score CVSS : 7,3) – Rétrogradation du chargeur de démarrage via une tokenisation incorrecte (Impacts sur le PAX A920)
Une exploitation réussie des faiblesses susmentionnées pourrait permettre à un attaquant d’élever ses privilèges pour rooter et contourner les protections du sandboxing, obtenant ainsi carte blanche pour effectuer n’importe quelle opération.
Cela inclut l’interférence avec les opérations de paiement pour « modifier les données que l’application marchande envoie au [Secure Processor]qui inclut le montant de la transaction », ont déclaré les chercheurs en sécurité Adam Kliś et Hubert Jasudowicz.
Il convient de mentionner que l’exploitation des CVE-2023-42136 et CVE-2023-42137 nécessite qu’un attaquant ait un accès shell à l’appareil, tandis que les trois autres nécessitent que l’acteur malveillant y ait un accès physique via USB.
La société de tests d’intrusion basée à Varsovie a déclaré avoir divulgué de manière responsable les failles à PAX Technology début mai 2023, à la suite de quoi des correctifs ont été publiés par cette dernière en novembre 2023.