PAX Technology’nin satış noktası (PoS) terminalleri, tehdit aktörleri tarafından keyfi kod yürütmek üzere silah haline getirilebilecek bir dizi yüksek önemdeki güvenlik açıklarından etkilenir.
Polonya’daki hızlı dağıtımları nedeniyle Çinli firma tarafından üretilen Android tabanlı cihazlara tersine mühendislik uygulayan STM Siber Ar-Ge ekibi, ayrıcalık yükseltmeye ve önyükleyiciden yerel kod yürütmeye izin veren yarım düzine kusuru ortaya çıkardığını söyledi.
Güvenlik açıklarından birine (CVE-2023-42133) ilişkin ayrıntılar şu anda gizli tutulmuştur. Diğer kusurlar aşağıda listelenmiştir –
- CVE-2023-42134 ve CVE-2023-42135 (CVSS puanı: 7,6) – Fastboot’ta çekirdek parametre enjeksiyonu yoluyla kök olarak yerel kod yürütme (Impacts PAX A920Pro/PAX A50)
- CVE-2023-42136 (CVSS puanı: 8,8) – Kabuk enjeksiyon bağlayıcıya maruz kalan hizmet aracılığıyla herhangi bir kullanıcıdan/uygulamadan sistem kullanıcısına ayrıcalık yükseltme (Tüm Android tabanlı PAX PoS cihazlarını etkiler)
- CVE-2023-42137 (CVSS puanı: 8,8) – Systool_server arka plan programındaki güvenli olmayan işlemler yoluyla sistem/kabuk kullanıcısından root’a ayrıcalık yükseltme (Tüm Android tabanlı PAX PoS cihazlarını etkiler)
- CVE-2023-4818 (CVSS puanı: 7,3) – Uygun olmayan tokenizasyon nedeniyle önyükleyicinin sürümünün düşürülmesi (PaX A920’yi etkiler)
Bahsedilen zayıflıkların başarılı bir şekilde kullanılması, bir saldırganın sanal alan korumalarını köklendirme ve atlama ayrıcalıklarını yükseltmesine ve herhangi bir işlemi gerçekleştirmek için etkin bir şekilde tam yetki erişimi elde etmesine olanak tanıyabilir.
Bu, “tüccar uygulamasının satıcıya gönderdiği verileri değiştirmek” amacıyla ödeme işlemlerine müdahale etmeyi içerir. [Secure Processor]Güvenlik araştırmacıları Adam Kliś ve Hubert Jasudowicz, işlem tutarını da içeren bir işlem olduğunu söyledi.
CVE-2023-42136 ve CVE-2023-42137’den yararlanmanın bir saldırganın cihaza kabuk erişimine sahip olmasını gerektirdiğini, geri kalan üçünün ise tehdit aktörünün fiziksel USB erişimine sahip olmasını gerektirdiğini belirtmekte fayda var.
Varşova merkezli penetrasyon testi şirketi, Mayıs 2023’ün başlarında PAX Technology’deki kusurları sorumlu bir şekilde açıkladığını ve ardından yamaların Kasım 2023’te PAX Technology tarafından yayınlandığını söyledi.