Positive Technologies consiglia alle banche di installare nuove versioni del firmware sui terminali POS mobili PAX S920 e PAX D210
PAX Technology ha risolto tre vulnerabilità nei terminali POS mobili PAX S920 e PAX D210 scoperte dall’esperto di Positive Technologies Artem Ivachev. Questi dispositivi vengono utilizzati per ricevere pagamenti in ristoranti, hotel, trasporti e altre aree del mondo. PAX Tecnologia al terzo posto nel mercato POS mondiale nel 2019, in base al rapporto Nilson.
“La vulnerabilità CVE-2020-28892 (valutata 2,5 sulla scala CVSS 3.1) in PAX S920 potrebbe essere stata utilizzata dagli aggressori in una catena di altre vulnerabilità come punto finale”, afferma Artem Ivachev. – L’errore era correlato a un overflow del buffer dello stack nel servizio pedd 1 (overflow del buffer dello stack nel servizio pedd). Ha contribuito a elevare i privilegi e ad accedere al keystore e alla memoria protetta del dispositivo. Se fosse possibile eseguire codice da un utente arbitrario nel sistema, consentiva l’esecuzione del codice con diritti di superutente (root)”.
La seconda vulnerabilità in PAX S920 (CVE-2020-28891 con un punteggio CVSS 3.1 di 3.9) riguarda l’esclusione della verifica della firma. Potrebbe aiutare un utente malintenzionato se avesse la possibilità di scaricare ed eseguire file eseguibili. Utilizzando questo errore, è stato possibile ignorare il controllo di integrità durante l’esecuzione di file eseguibili collegati dinamicamente.
La terza vulnerabilità è stata trovata nel terminale POS PAX D210 (CVE-2020-29044 con un punteggio CVSS 3.1 di 6.2). Avendo accesso fisico al dispositivo, tramite USB, era possibile eseguire codice con i privilegi del kernel del sistema operativo. L’errore ha consentito di estrarre tutte le informazioni segrete dal terminale e di caricare un rootkit nel kernel del sistema operativo.
“Le catene di queste e di alcune altre vulnerabilità hanno permesso di intercettare i dati della carta utente (Traccia 2, PIN), e hanno anche permesso di inviare dati arbitrari all’elaborazione della banca acquirente (questo richiedeva chiavi di crittografia che potevano essere estratte dal terminale)”, ha spiegato Artem Ivachev.
PAX Technology ha rilasciato aggiornamenti software che risolvono queste vulnerabilità. Per ottenere e installare il software necessario, è necessario contattare il produttore dell’apparecchiatura, la propria banca o il fornitore di servizi.
Nel 2020, gli esperti di Positive Technologies hanno contribuito a chiudere le vulnerabilità nei terminali POS Ingenico Telium 2 e Verifone.