Falha no Terminal PoS da PAX poderia permitir que invasores manipulem transações
18 de Janeiro de 2024

Os terminais de ponto de venda (PoS) da PAX Technology são afetados por um conjunto de vulnerabilidades de alta gravidade que podem ser utilizadas por atores de ameaças para executar código arbitrário.

A equipe de Pesquisa e Desenvolvimento em cibersegurança da STM, que fez a engenharia reversa dos dispositivos baseados em Android fabricados pela empresa chinesa devido ao seu rápido desdobramento na Polônia, disse que descobriu meia dúzia de falhas que permitem a escalada de privilégios e a execução de código local a partir do bootloader.

Detalhes sobre uma das vulnerabilidades (CVE-2023-42133) estão sendo, por enquanto, retidos.

As outras falhas são listadas a seguir -

CVE-2023-42134 e CVE-2023-42135 (pontuação CVSS: 7.6) - Execução de código local como root via injeção de parâmetro no kernel em fastboot (Impacta PAX A920Pro/PAX A50)

CVE-2023-42136 (pontuação CVSS: 8.8) - Escalada de privilégio de qualquer usuário/aplicativo para usuário do sistema via injeção de shell em serviço exposto por binder (Impacta todos os dispositivos PAX PoS baseados em Android)

CVE-2023-42137 (pontuação CVSS: 8.8) - Escalada de privilégio de usuário do sistema/shell para root via operações inseguras no daemon do systool_server (Impacta todos os dispositivos PAX PoS baseados em Android)

CVE-2023-4818 (pontuação CVSS: 7.3) - Downgrade do bootloader via tokenização imprópria (Impacta PAX A920)

A exploração bem-sucedida das fraquezas mencionadas poderia permitir que um atacante elevasse seus privilégios para root e evitasse as proteções de sandboxing, obtendo efetivamente acesso livre para realizar qualquer operação.

Isso inclui interferir nas operações de pagamento para "modificar os dados que o aplicativo do comerciante envia para o [Processador Seguro], que inclui o valor da transação", disseram os pesquisadores de segurança Adam Kliś e Hubert Jasudowicz.

Vale ressaltar que explorar o CVE-2023-42136 e o CVE-2023-42137 requer que o atacante tenha acesso ao shell do dispositivo, enquanto as três restantes requerem que o ator da ameaça tenha acesso físico ao USB do mesmo.

A empresa de testes de penetração com sede em Varsóvia disse que divulgou responsavelmente as falhas para a PAX Technology em maio de 2023, e que a mesma lançou patches para as falhas em novembro de 2023.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...