STM Cyberは1月15日(現地時間)、「Android-based PAX POS vulnerabilities (Part 1) - STM Cyber Blog」において、PAX TechnologyのPOS(Point Of Sales)端末に脆弱性が存在するとして、注意を呼び掛けた。該当するデバイスはAndroidを搭載したモデルで、合計6つの脆弱性が発見されている。

  • Android-based PAX POS vulnerabilities (Part 1) - STM Cyber Blog

    Android-based PAX POS vulnerabilities (Part 1) - STM Cyber Blog

PAXのPOS端末が抱えている脆弱性の概要

脆弱性が存在する製品およびバージョンは次のとおり。

  • PAX A920Pro, PAX A50 - PayDroid 8.1.0_Sagittarius_11.1.50_20230314およびこれ以前のバージョン
  • Androidを搭載したすべてのPAX POSデバイス - PayDroid 11.1.50_20230614およびこれ以前のバージョン
  • PAX A920 - PayDroid 7.1.2_Aquarius_11.1.50_20230614およびこれ以前のバージョン

脆弱性が修正された製品およびバージョンは次のとおり。

  • PAX A920Pro, PAX A50 - PayDroid 8.1.0_Sagittarius_V02.9.99T9_20230919およびこれ以降のバージョン
  • Androidを搭載したすべてのPAX POSデバイス - PayDroid V02.9.99T9_20230919およびこれ以降のバージョン
  • PAX A920 - PayDroid 7.1.2_Aquarius_V02.9.99T9_20230919およびこれ以降のバージョン

脆弱性を抱えているPOS端末と脆弱性が修正されたPOS端末の概要

発見されたセキュリティ脆弱性の情報は次のとおり。

  • CVE-2023-42133 - 詳細は公開されていない
  • CVE-2023-42134 - 署名付きパーティションを上書きできる不具合。デバイスのUSBポートに物理的なアクセスができる攻撃者はパーティションを書き換えることで、隠しコマンドを介してローカルコードを実行できる可能性がある
  • CVE-2023-42135 - 特定のパーティションに書き込む際に入力検証をバイパスし、パラメータインジェクションを介してローカルコードを実行できる可能性がある。この脆弱性の悪用には、デバイスのUSBポートに物理的なアクセスを必要とする
  • CVE-2023-42136 - 特定の単語で始まるシェルインジェクションにより、システムアカウント権限で任意のコマンドを実行できる可能性がある。この脆弱性の悪用には、デバイスのシェルアクセス権が必要
  • CVE-2023-42137 - 悪意のあるシンボリックリンクを使用することで高い権限でコマンドを実行できる可能性がある。この脆弱性の悪用には、デバイスのシェルアクセス権が必要
  • CVE-2023-4818 - バージョンチェックの不具合により、ブートローダをダウングレードできる。この脆弱性の悪用には、デバイスのUSBポートに物理的なアクセスを必要とする

影響と対策

発見された脆弱性のうち、最も深刻度が高いものは重要(Important)と評価されており注意が必要。STM Cyberはこれら脆弱性を悪用してデバイスの管理者権限を入手できれば、決済を含めアプリケーションを改ざん可能と指摘している。2023年11月30日、STM CyberはPAX Technologyからパッチがリリースされたことを確認しており、当該製品を使用するユーザーはベンダの提供する情報を確認し、必要に応じてアップデートすることが望まれている。