Разработчики: | PAX Technology |
Дата последнего релиза: | 2021/09/10 |
Технологии: | Офисная техника, Системы автоматизации торговли |
2021: Устранение трех уязвимостей
Компания PAX Technology устранила три уязвимости в мобильных POS-терминалах PAX S920 и PAX D210, обнаруженные экспертом Positive Technologies Артемом Ивачевым. Об этом PT сообщила 10 сентября 2021 года. Эти устройства используются для приема платежей в ресторанах, гостиницах, транспорте и в других сферах по всему миру.
Уязвимость CVE-2020-28892 (с оценкой 2.5 по шкале CVSS 3.1) в PAX S920 могла применяться атакующими в цепочке других уязвимостей в качестве финальной точки, — рассказал Артем Ивачев. — Ошибка была связана с переполнением буфера стека в pedd service (Stack buffer overflow in pedd service). Она помогала поднять привилегии и получить доступ к хранилищу ключей и защищенной памяти устройства. При наличии возможности выполнения кода от произвольного пользователя в системе она позволяла запустить код с правами суперпользователя (root). |
Вторая уязвимость в PAX S920 (CVE-2020-28891 с оценкой 3,9 по шкале CVSS 3.1) относится к типу обхода проверки подписи (Signature verification bypass). Она могла помочь атакующему, если у него была возможность загружать и запускать исполняемые файлы. С помощью данной ошибки можно было обойти проверку целостности при запуске динамически слинкованных исполняемых файлов.
Третья уязвимость была обнаружена в POS-терминале PAX D210 (CVE-2020-29044 с оценкой 6,2 по шкале CVSS 3.1). Имея физический доступ к устройству, через USB можно было получить возможность исполнения кода с привилегиями ядра операционной системы. Ошибка позволяла извлечь всю секретную информацию из терминала, а также загрузить в ядро ОС руткит.
Цепочки этих и некоторых других уязвимостей давали возможность перехватывать данные карт пользователей (Track 2, PIN), а также позволяли отправлять произвольные данные в процессинг банка-эквайера (для этого были нужны ключи шифрования, которые можно было извлечь из терминала), — объяснил Артем Ивачев. |
Компания PAX Technology выпустила обновления программного обеспечения, устраняющие эти уязвимости.
Подрядчики-лидеры по количеству проектов
1С-Архитектор бизнеса (1АБ Мастер) (251)
Первый Бит (202)
1С-Рарус (179)
ФИТ (FIT) (149)
Астор (91)
Другие (1321)
Клеверенс (Cleverence) (14)
Crystal Service Integration (CSI, Кристалл Сервис Интеграция) (10)
StockM Consulting (СтокМ.ру) (5)
Корус Консалтинг (2)
Формула, ГК (1)
Другие (18)
Crystal Service Integration (CSI, Кристалл Сервис Интеграция) (11)
Клеверенс (Cleverence) (7)
Национальная система платежных карт (НСПК) (2)
Первый Бит (2)
Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (2)
Другие (25)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
1С Акционерное общество (32, 766)
ФИТ (FIT) (6, 149)
Астор (6, 115)
CDC (Центр Корпоративных Разработок, СиДиСи) (8, 93)
1С-Рарус (13, 86)
Другие (684, 999)
Клеверенс (Cleverence) (6, 14)
Crystal Service Integration (CSI, Кристалл Сервис Интеграция) (4, 10)
StockM Consulting (СтокМ.ру) (1, 5)
1С Акционерное общество (1, 5)
Urovo Technology (Урово) (1, 2)
Другие (14, 14)
Crystal Service Integration (CSI, Кристалл Сервис Интеграция) (4, 11)
Клеверенс (Cleverence) (2, 7)
Национальная система платежных карт (НСПК) (1, 6)
QRService (КуАрМенеджер) (1, 2)
StockM Consulting (СтокМ.ру) (1, 2)
Другие (17, 20)
Crystal Service Integration (CSI, Кристалл Сервис Интеграция) (6, 10)
1С Акционерное общество (2, 9)
СофтВел (SoftWell) (1, 7)
Life Pay (Платежный сервис провайдер, ПСП) (4, 5)
StockM Consulting (СтокМ.ру) (1, 5)
Другие (20, 30)
1С Акционерное общество (2, 7)
АТОЛ (3, 6)
StockM Consulting (СтокМ.ру) (1, 2)
Life Pay (Платежный сервис провайдер, ПСП) (2, 1)
АйТи-Ойл (1, 1)
Другие (10, 10)
Распределение систем по количеству проектов, не включая партнерские решения
1С:Управление торговлей 8 - 522
1С:Розница - 179
GESTORI Pro - 122
Оптимум АСУМТ - 88
Астор: Торговая сеть Smart Enterprise (SE) и Торговый Дом Smart Prof - 66
Другие 1253
КристаллСервис: Set Retail - 8
Клеверенс: Склад 15 - 7
1С:Управление торговлей 8 - 5
Клеверенс: Магазин 15 - 5
StockM (Россия) - 5
Другие 26
КристаллСервис: Set Retail - 10
Клеверенс: Склад 15 - 6
НСПК: СБПэй (Мобильное приложение) - 6
CSI K Касса самообслуживания - 3
1С:Управление торговлей 8 - 2
Другие 22
КристаллСервис: Set Retail - 7
1С:Управление торговлей 8 - 7
SoftWell: RuTerminal Торгово-информационная платформа - 7
StockM (Россия) - 5
Купер (ранее СберМаркет) - 4
Другие 40
1С:Управление торговлей 8 - 6
АТОЛ КСО-серия Кассы самообслуживания - 3
StockM (Россия) - 2
АТОЛ Онлайн-кассы - 2
B1 Pricing - 1
Другие 13
Подрядчики-лидеры по количеству проектов
ЭЛАР (Электронный архив, НПО Опыт) (166)
Техноэволаб (ранее Xerox СНГ) (40)
Konica Minolta Business Solutions Russia (Коника Минолта Бизнес Сольюшнз Раша) (40)
X-Com (Икс ком) (39)
Кортис (36)
Другие (333)
ЭЛАР (Электронный архив, НПО Опыт) (18)
X-Com (Икс ком) (14)
Кортис (14)
Konica Minolta Business Solutions Russia (Коника Минолта Бизнес Сольюшнз Раша) (11)
Техноэволаб (ранее Xerox СНГ) (8)
Другие (42)
ЭЛАР (Электронный архив, НПО Опыт) (17)
Кортис (8)
X-Com (Икс ком) (6)
Crystal Service Integration (CSI, Кристалл Сервис Интеграция) (4)
Softline (Софтлайн) (4)
Другие (26)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
ЭЛАР (Электронный архив, НПО Опыт) (1, 172)
ПроСофт-ПК (1, 172)
Xerox (33, 108)
Konica Minolta (Коника Минолта) (13, 48)
Lenovo (21, 27)
Другие (917, 252)
ПроСофт-ПК (1, 20)
ЭЛАР (Электронный архив, НПО Опыт) (1, 20)
Xerox (9, 13)
Konica Minolta (Коника Минолта) (5, 12)
Lenovo (4, 8)
Другие (35, 42)
ПроСофт-ПК (1, 18)
ЭЛАР (Электронный архив, НПО Опыт) (1, 18)
Pantum (3, 5)
Crystal Service Integration (CSI, Кристалл Сервис Интеграция) (2, 4)
Lenovo (4, 3)
Другие (22, 24)
ПроСофт-ПК (1, 25)
ЭЛАР (Электронный архив, НПО Опыт) (1, 25)
Crystal Service Integration (CSI, Кристалл Сервис Интеграция) (4, 4)
АТОЛ (2, 2)
Inferit (Инферит) (2, 1)
Другие (12, 10)
ПроСофт-ПК (1, 20)
ЭЛАР (Электронный архив, НПО Опыт) (1, 20)
Гравитон (Ревотех, Революционные технологии) (3, 5)
3Logic Group (Новый Ай Ти Проект) (2, 5)
АТОЛ (2, 3)
Другие (5, 5)
Распределение систем по количеству проектов, не включая партнерские решения
ЭларСКАН - 172
Xerox Versant Полноцветные ЦПМ - 51
Konica Minolta AccurioPress C-серия - 24
YSoft SafeQ - 17
Pantum M-серия МФУ - 17
Другие 347
ЭларСКАН - 20
Konica Minolta AccurioPress C-серия - 7
Pantum M-серия МФУ - 5
Xerox Versant Полноцветные ЦПМ - 4
Lenovo ThinkCentre Настольные компьютеры - 4
Другие 60
ЭларСКАН - 18
Pantum BM-серия МФУ - 3
CSI K Касса самообслуживания - 3
Ramec Tsunami Персональные компьютеры - 2
Pantum M-серия МФУ - 2
Другие 26