Podatności w terminalach płatniczych firmy PAX

CVE ID	CVE-2023-4818
Data publikacji	15 stycznia 2024
Producent podatnego oprogramowania	PAX Technology
Nazwa podatnego oprogramowania	A920
Podatne wersje	Wszystkie do A920_AP_Boot_Release_V5.14 włącznie
Typ podatności (CWE)	Improper Input Validation (CWE-20)
Źródło zgłoszenia	Zgłoszenie do CERT Polska

CVE ID	CVE-2023-42134
Data publikacji	15 stycznia 2024
Producent podatnego oprogramowania	PAX Technology
Nazwa podatnego oprogramowania	Wszystkie terminale firmy PAX oparte o system Android
Podatne wersje	Wszystkie do 11.1.45_20230314 włącznie
Typ podatności (CWE)	Hidden Functionality (CWE-912)
Źródło zgłoszenia	Zgłoszenie do CERT Polska

CVE ID	CVE-2023-42135
Data publikacji	15 stycznia 2024
Producent podatnego oprogramowania	PAX Technology
Nazwa podatnego oprogramowania	A920 Pro oraz A50
Podatne wersje	Wszystkie do 11.1.50_20230614 włącznie
Typ podatności (CWE)	Improper Input Validation (CWE-20)
Źródło zgłoszenia	Zgłoszenie do CERT Polska

CVE ID	CVE-2023-42136
Data publikacji	15 stycznia 2024
Producent podatnego oprogramowania	PAX Technology
Nazwa podatnego oprogramowania	Wszystkie terminale oparte o system Android
Podatne wersje	Wszystkie do 11.1.50_20230614 włącznie
Typ podatności (CWE)	Improper Input Validation (CWE-20)
Źródło zgłoszenia	Zgłoszenie do CERT Polska

CVE ID	CVE-2023-42137
Data publikacji	15 stycznia 2024
Producent podatnego oprogramowania	PAX Technology
Nazwa podatnego oprogramowania	Wszystkie terminale oparte o system Android
Podatne wersje	Wszystkie do 11.1.50_20230614 włącznie
Typ podatności (CWE)	Improper Input Validation (CWE-20)
Źródło zgłoszenia	Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu różnych modeli terminali płatniczych POS (Point Of Sale) firmy PAX i koordynował proces ujawniania informacji. Wszystkie podatności zostały potwierdzone przez producenta oraz otrzymały adresujące je poprawki bezpieczeństwa. Szczegóły techniczne zostały opisane na stronie znalazców błędów.

Błędne sprawdzanie wersji opisane w podatności CVE-2023-4818 w urządzeniu PAX A920 pozwala na wgranie starszej wersji bootloadera pod warunkiem, że jest on poprawnie podpisany przez firmę PAX. Do przeprowadzenia ataku wymagany jest dostęp do portu USB urządzenia.
Podatność CVE-2023-42134 we wszystkich urządzeniach POS opartych o system Android z oprogramowaniem w wersji PayDroid_8.1.0_Sagittarius_V11.1.45_20230314 lub niższej pozwala skorzystać w nieudokumentowanej komendy aby nadpisać podpisaną partycję, w konsekwencji czego możliwe jest lokalne wykonanie kodu. Do przeprowadzenia ataku wymagany jest dostęp do portu USB urządzenia.
Podatność CVE-2023-42135 w urządzeniach PAX A920Pro oraz A50 z oprogramowaniem PayDroid_8.1.0_Sagittarius_V11.1.50_20230614 opisuje ominięcie walidacji wprowadzanych do urządzenia danych podczas flashowania jednej z partycji, dzięki czemu możliwe jest wstrzyknięcie dodatkowego parametru i lokalne wykonanie kodu. Do przeprowadzenia ataku wymagany jest dostęp do portu USB urządzenia.
Podatność CVE-2023-42136 we wszystkich urządzeniach POS opartych o system Android z oprogramowaniem w wersji PayDroid_8.1.0_Sagittarius_V11.1.50_20230614 lub niższej pozwala na lokalne wykonanie komend z przywilejami konta systemowego poprzez wstrzyknięcie spreparowanego polecenia powłoki. Do przeprowadzenia ataku wymagany jest dostęp do powłoki urządzenia.
Podatność CVE-2023-42137 we wszystkich urządzeniach POS opartych o system Android z oprogramowaniem w wersji PayDroid_8.1.0_Sagittarius_V11.1.50_20230614 lub niższej pozwala na wykonanie komend z wysokimi uprawnieniami poprzez użycie spreparowanych dowiązań symbolicznych. Do przeprowadzenia ataku wymagany jest dostęp do powłoki urządzenia.

Podziękowania

Za zgłoszenie podatności dziękujemy Hubertowi Jasudowiczowi, Adamowi Klisiowi oraz pozostałym członkom zespołu STM Cyber R&D.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.