PAX S-серия POS-терминалы

Продукт
Разработчики: PAX Technology
Дата последнего релиза: 2021/09/10
Технологии: Офисная техника,  Системы автоматизации торговли

2021: Устранение трех уязвимостей

Компания PAX Technology устранила три уязвимости в мобильных POS-терминалах PAX S920 и PAX D210, обнаруженные экспертом Positive Technologies Артемом Ивачевым. Об этом PT сообщила 10 сентября 2021 года. Эти устройства используются для приема платежей в ресторанах, гостиницах, транспорте и в других сферах по всему миру.

«
Уязвимость CVE-2020-28892 (с оценкой 2.5 по шкале CVSS 3.1) в PAX S920 могла применяться атакующими в цепочке других уязвимостей в качестве финальной точки, — рассказал Артем Ивачев. — Ошибка была связана с переполнением буфера стека в pedd service (Stack buffer overflow in pedd service). Она помогала поднять привилегии и получить доступ к хранилищу ключей и защищенной памяти устройства. При наличии возможности выполнения кода от произвольного пользователя в системе она позволяла запустить код с правами суперпользователя (root).
»

Вторая уязвимость в PAX S920 (CVE-2020-28891 с оценкой 3,9 по шкале CVSS 3.1) относится к типу обхода проверки подписи (Signature verification bypass). Она могла помочь атакующему, если у него была возможность загружать и запускать исполняемые файлы. С помощью данной ошибки можно было обойти проверку целостности при запуске динамически слинкованных исполняемых файлов.

Третья уязвимость была обнаружена в POS-терминале PAX D210 (CVE-2020-29044 с оценкой 6,2 по шкале CVSS 3.1). Имея физический доступ к устройству, через USB можно было получить возможность исполнения кода с привилегиями ядра операционной системы. Ошибка позволяла извлечь всю секретную информацию из терминала, а также загрузить в ядро ОС руткит.

«
Цепочки этих и некоторых других уязвимостей давали возможность перехватывать данные карт пользователей (Track 2, PIN), а также позволяли отправлять произвольные данные в процессинг банка-эквайера (для этого были нужны ключи шифрования, которые можно было извлечь из терминала), — объяснил Артем Ивачев.
»

Компания PAX Technology выпустила обновления программного обеспечения, устраняющие эти уязвимости.



Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  1С-Архитектор бизнеса (1АБ Мастер) (251)
  Первый Бит (205)
  1С-Рарус (179)
  ФИТ (FIT) (149)
  Астор (91)
  Другие (1325)

  Клеверенс (Cleverence) (14)
  Crystal Service Integration (CSI, Кристалл Сервис Интеграция) (10)
  StockM Consulting (СтокМ.ру) (5)
  Корус Консалтинг (2)
  Смарт-технологии (1)
  Другие (18)

  Crystal Service Integration (CSI, Кристалл Сервис Интеграция) (11)
  Клеверенс (Cleverence) (7)
  Национальная система платежных карт (НСПК) (2)
  Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (2)
  Первый Бит (2)
  Другие (25)

  Crystal Service Integration (CSI, Кристалл Сервис Интеграция) (9)
  СофтВел (SoftWell) (7)
  Клеверенс (Cleverence) (5)
  Life Pay (Платежный сервис провайдер, ПСП) (5)
  StockM Consulting (СтокМ.ру) (5)
  Другие (44)

  Первый Бит (5)
  АТОЛ (3)
  Слон-Электроникс (2)
  StockM Consulting (СтокМ.ру) (2)
  1С-Рарус Казань (1)
  Другие (18)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  1С Акционерное общество (32, 767)
  ФИТ (FIT) (6, 149)
  Астор (6, 115)
  CDC (Центр Корпоративных Разработок, СиДиСи) (8, 93)
  1С-Рарус (13, 86)
  Другие (694, 1003)

  Клеверенс (Cleverence) (6, 14)
  Crystal Service Integration (CSI, Кристалл Сервис Интеграция) (4, 10)
  StockM Consulting (СтокМ.ру) (1, 5)
  1С Акционерное общество (1, 5)
  Urovo Technology (Урово) (1, 2)
  Другие (14, 14)

  Crystal Service Integration (CSI, Кристалл Сервис Интеграция) (4, 11)
  Клеверенс (Cleverence) (2, 7)
  Национальная система платежных карт (НСПК) (1, 6)
  Effective Technologies (Эффектив Технолоджис) (1, 2)
  QRService (КуАрМенеджер) (1, 2)
  Другие (17, 20)

  Crystal Service Integration (CSI, Кристалл Сервис Интеграция) (6, 10)
  1С Акционерное общество (2, 9)
  СофтВел (SoftWell) (1, 7)
  Life Pay (Платежный сервис провайдер, ПСП) (4, 5)
  Клеверенс (Cleverence) (2, 5)
  Другие (19, 33)

  1С Акционерное общество (4, 9)
  АТОЛ (3, 6)
  Клеверенс (Cleverence) (2, 2)
  StockM Consulting (СтокМ.ру) (1, 2)
  Life Pay (Платежный сервис провайдер, ПСП) (2, 1)
  Другие (10, 10)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  1С:Управление торговлей 8 - 522
  1С:Розница - 180
  GESTORI Pro - 122
  Оптимум АСУМТ - 88
  Астор: Торговая сеть Smart Enterprise (SE) и Торговый Дом Smart Prof - 66
  Другие 1257

  КристаллСервис: Set Retail - 8
  Клеверенс: Склад 15 - 7
  1С:Управление торговлей 8 - 5
  Клеверенс: Магазин 15 - 5
  StockM (Россия) - 5
  Другие 26

  КристаллСервис: Set Retail - 10
  НСПК: СБПэй (Мобильное приложение) - 6
  Клеверенс: Склад 15 - 6
  CSI K Касса самообслуживания - 3
  Eftech.ProQ - 2
  Другие 22

  SoftWell: RuTerminal Торгово-информационная платформа - 7
  КристаллСервис: Set Retail - 7
  1С:Управление торговлей 8 - 7
  StockM (Россия) - 5
  Купер (ранее СберМаркет) - 4
  Другие 43

  1С:Управление торговлей 8 - 6
  АТОЛ КСО-серия Кассы самообслуживания - 3
  StockM (Россия) - 2
  АТОЛ Онлайн-кассы - 2
  B1 Pricing - 1
  Другие 15

Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  ЭЛАР (Электронный архив, НПО Опыт) (169)
  Техноэволаб (ранее Xerox СНГ) (40)
  Konica Minolta Business Solutions Russia (Коника Минолта Бизнес Сольюшнз Раша) (40)
  X-Com (Икс ком) (39)
  Кортис (36)
  Другие (337)

  ЭЛАР (Электронный архив, НПО Опыт) (18)
  X-Com (Икс ком) (14)
  Кортис (14)
  Konica Minolta Business Solutions Russia (Коника Минолта Бизнес Сольюшнз Раша) (11)
  Техноэволаб (ранее Xerox СНГ) (8)
  Другие (42)

  ЭЛАР (Электронный архив, НПО Опыт) (17)
  Кортис (8)
  X-Com (Икс ком) (6)
  Crystal Service Integration (CSI, Кристалл Сервис Интеграция) (4)
  Softline (Софтлайн) (4)
  Другие (26)

  ЭЛАР (Электронный архив, НПО Опыт) (25)
  Crystal Service Integration (CSI, Кристалл Сервис Интеграция) (3)
  Softline (Софтлайн) (3)
  X-Com (Икс ком) (3)
  АТОЛ (2)
  Другие (10)

  ЭЛАР (Электронный архив, НПО Опыт) (23)
  R-Style Softlab (Эр-Стайл Софтлаб) (5)
  Softline (Софтлайн) (5)
  Гравитон (Ревотех, Революционные технологии) (5)
  X-Com (Икс ком) (3)
  Другие (14)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  ПроСофт-ПК (1, 175)
  ЭЛАР (Электронный архив, НПО Опыт) (1, 175)
  Xerox (33, 108)
  Konica Minolta (Коника Минолта) (13, 48)
  Lenovo (21, 27)
  Другие (926, 253)

  ЭЛАР (Электронный архив, НПО Опыт) (1, 20)
  ПроСофт-ПК (1, 20)
  Xerox (9, 13)
  Konica Minolta (Коника Минолта) (5, 12)
  Lenovo (4, 8)
  Другие (35, 42)

  ПроСофт-ПК (1, 18)
  ЭЛАР (Электронный архив, НПО Опыт) (1, 18)
  Pantum (3, 5)
  Crystal Service Integration (CSI, Кристалл Сервис Интеграция) (2, 4)
  Lenovo (4, 3)
  Другие (22, 24)

  ПроСофт-ПК (1, 25)
  ЭЛАР (Электронный архив, НПО Опыт) (1, 25)
  Crystal Service Integration (CSI, Кристалл Сервис Интеграция) (4, 4)
  АТОЛ (2, 2)
  Softline (Софтлайн) (2, 1)
  Другие (12, 10)

  ПроСофт-ПК (1, 23)
  ЭЛАР (Электронный архив, НПО Опыт) (1, 23)
  Гравитон (Ревотех, Революционные технологии) (3, 5)
  3Logic Group (Новый Ай Ти Проект) (2, 5)
  АТОЛ (2, 3)
  Другие (6, 6)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  ЭларСКАН - 175
  Xerox Versant Полноцветные ЦПМ - 51
  Konica Minolta AccurioPress C-серия - 24
  YSoft SafeQ - 17
  Pantum M-серия МФУ - 17
  Другие 348

  ЭларСКАН - 20
  Konica Minolta AccurioPress C-серия - 7
  Pantum M-серия МФУ - 5
  Lenovo ThinkCentre Настольные компьютеры - 4
  YSoft SafeQ - 4
  Другие 60

  ЭларСКАН - 18
  CSI K Касса самообслуживания - 3
  Pantum BM-серия МФУ - 3
  HP EliteDesk Десктопы и моноблоки - 2
  Ramec Tsunami Персональные компьютеры - 2
  Другие 26

  ЭларСКАН - 25
  CSI K Касса самообслуживания - 3
  Huawei MateBook-серия ноутбуков - 1
  HP Color LaserJet Pro M-серия принтеров - 1
  АТОЛ Jazz POS-терминалы - 1
  Другие 12

  ЭларСКАН - 23
  3Logic Group: Гравитон Д-серия Персональные компьютеры - 5
  3Logic Group: Гравитон М-серия Моноблоки - 5
  3Logic Group: Гравитон Н-серия Ноутбуки - 5
  АТОЛ Онлайн-кассы - 2
  Другие 7