На терминалы торговых точек (PoS) от PAX Technology влияет набор уязвимостей высокой степени опасности, которые могут быть использованы злоумышленниками для выполнения произвольного кода.
Команда STM Cyber R & D, которая провела реинжиниринг устройств на базе Android, произведенных китайской фирмой, из-за их быстрого развертывания в Польше, заявила, что обнаружила полдюжины недостатков, которые допускают повышение привилегий и выполнение локального кода из загрузчика.
Подробности об одной из уязвимостей (CVE-2023-42133) в настоящее время не разглашаются. Другие недостатки перечислены ниже -
Это включает вмешательство в платежные операции с целью "изменения данных, которые торговое приложение отправляет [защищенному процессору], включая сумму транзакции", - сказали исследователи безопасности Адам Клиш и Хьюберт Ясудович.
Стоит упомянуть, что для использования CVE-2023-42136 и CVE-2023-42137 злоумышленнику требуется доступ к устройству через оболочку, в то время как для остальных трех требуется, чтобы субъект угрозы имел к нему физический доступ по USB.
Базирующаяся в Варшаве компания по тестированию на проникновение заявила, что ответственно раскрыла недостатки PAX Technology в начале мая 2023 года, после чего последняя выпустила исправления в ноябре 2023 года.
Команда STM Cyber R & D, которая провела реинжиниринг устройств на базе Android, произведенных китайской фирмой, из-за их быстрого развертывания в Польше, заявила, что обнаружила полдюжины недостатков, которые допускают повышение привилегий и выполнение локального кода из загрузчика.
Подробности об одной из уязвимостей (CVE-2023-42133) в настоящее время не разглашаются. Другие недостатки перечислены ниже -
- CVE-2023-42134 и CVE-2023-42135 (Оценка CVSS: 7,6) - Выполнение локального кода от имени root посредством внедрения параметров ядра в fastboot (влияет на PAX A920Pro / PAX A50)
- CVE-2023-42136 (оценка CVSS: 8,8) - Повышение привилегий от любого пользователя / приложения к системному пользователю с помощью службы binder, подверженной воздействию оболочки (влияет на все устройства PAX PoS на базе Android)
- CVE-2023-42137 (оценка CVSS: 8,8) - Повышение привилегий от пользователя системы / оболочки до root с помощью небезопасных операций в демоне systool_server (влияет на все устройства PAX PoS на базе Android)
- CVE-2023-4818 (оценка CVSS: 7.3) - Понижение версии загрузчика из-за неправильной токенизации (влияет на PAX A920)
Это включает вмешательство в платежные операции с целью "изменения данных, которые торговое приложение отправляет [защищенному процессору], включая сумму транзакции", - сказали исследователи безопасности Адам Клиш и Хьюберт Ясудович.
Стоит упомянуть, что для использования CVE-2023-42136 и CVE-2023-42137 злоумышленнику требуется доступ к устройству через оболочку, в то время как для остальных трех требуется, чтобы субъект угрозы имел к нему физический доступ по USB.
Базирующаяся в Варшаве компания по тестированию на проникновение заявила, что ответственно раскрыла недостатки PAX Technology в начале мая 2023 года, после чего последняя выпустила исправления в ноябре 2023 года.
