.png)
PAX PoS Terminal Kusuru, Saldırganların İşlemleri Kurcalamasına İzin Verebilir
PAX Technology'nin satış noktası (PoS) terminalleri, tehdit aktörleri tarafından rastgele kod yürütmek için silah haline getirilebilecek bir dizi yüksek önem derecesine sahip güvenlik açığından etkilenir.
Polonya'daki hızlı dağıtımları nedeniyle Çinli firma tarafından üretilen Android tabanlı cihazlara tersine mühendislik uygulayan STM Cyber Ar-Ge ekibi, önyükleyiciden ayrıcalık yükseltmeye ve yerel kod yürütmeye izin veren yarım düzine kusur ortaya çıkardığını söyledi.
Güvenlik açıklarından biriyle (CVE-2023-42133) ilgili ayrıntılar şu anda saklanıyor. Diğer kusurlar aşağıda listelenmiştir -
- CVE-2023-42134 ve CVE-2023-42135 (CVSS puanı: 7.6) - Fastboot'ta çekirdek parametresi enjeksiyonu yoluyla kök olarak yerel kod yürütme (PAX A920Pro/PAX A50'yi etkiler)
- CVE-2023-42136 (CVSS puanı: 8,8) - Kabuk enjeksiyon bağlayıcıya maruz kalan hizmet aracılığıyla herhangi bir kullanıcıdan/uygulamadan sistem kullanıcısına ayrıcalık yükseltme (Tüm Android tabanlı PAX PoS cihazlarını etkiler)
- CVE-2023-42137 (CVSS puanı: 8,8) - systool_server arka plan programında güvenli olmayan işlemler aracılığıyla sistem/kabuk kullanıcısından köke ayrıcalık yükseltme (Tüm Android tabanlı PAX PoS cihazlarını etkiler)
- CVE-2023-4818 (CVSS puanı: 7.3) - Uygun olmayan tokenizasyon nedeniyle bootloader düşürme (PAX A920'yi etkiler)
Yukarıda belirtilen zayıflıkların başarılı bir şekilde kullanılması, bir saldırganın ayrıcalıklarını korumalı alan korumalarını köklendirmek ve atlamak için yükseltmesine ve herhangi bir işlemi gerçekleştirmek için etkin bir şekilde sınırsız yetki erişimine sahip olmasına izin verebilir.
Güvenlik araştırmacıları Adam Kliś ve Hubert Jasudowicz, bunun "tüccar uygulamasının [Güvenli İşlemciye] gönderdiği ve işlem tutarını içeren verileri değiştirmek" için ödeme işlemlerine müdahale etmeyi de içerdiğini söyledi.
CVE-2023-42136 ve CVE-2023-42137'den yararlanmanın, bir saldırganın cihaza kabuk erişimine sahip olmasını gerektirdiğini, kalan üçünün ise tehdit aktörünün cihaza fiziksel USB erişimine sahip olmasını gerektirdiğini belirtmekte fayda var.
Varşova merkezli sızma testi şirketi, kusurları Mayıs 2023'ün başlarında sorumlu bir şekilde PAX Technology'ye açıkladığını ve ardından Kasım 2023'te PAX Technology tarafından yamaların yayınlandığını söyledi.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Google Project Zero Researcher, Samsung Cihazlarını Hedefleyen Sıfır Tıklama İstismarını Ortaya Çıkardı
SonicWall, Palo Alto Expedition ve Aviatrix denetleyicilerinde önemli güvenlik açıkları düzeltildi
Yeni Banshee Stealer Varyantı, Apple'ın XProtect'ten İlham Alan Şifrelemesi ile Antivirüsü Atlıyor
GFI KerioControl'deki kritik RCE kusuru, CRLF enjeksiyonu yoluyla uzaktan kod yürütülmesine izin verir
CISA, Aktif Sömürünün Ortasında Mitel ve Oracle Sistemlerindeki Kritik Kusurları İşaretledi
Araştırmacılar Illumina iSeq 100 DNA Dizileyicilerindeki Büyük Güvenlik Açığını Ortaya Çıkardı
Moxa, kullanıcıları hücresel ve güvenli yönlendiricilerdeki yüksek önem derecesine sahip güvenlik açıklarına karşı uyarır
Araştırmacılar, imza atlama ve kod yürütmeyi sağlayan çekirdek güvenlik açığını ortaya çıkardı