概要

セキュリティ研究者が、広く使用されている決済端末「Worldline Yomani XR」に重大な脆弱性を発見しました。この脆弱性により、攻撃者はわずか1分足らずでデバイスを完全に制御できる可能性があります。Worldline Yomani XRは、スイスの食料品店、カフェ、修理工場など、多くの企業で導入されています。

脆弱性の詳細

Yomani XR端末は、堅牢で改ざん防止機能が備わっていると評価されていましたが、そのメンテナンスポートから保護されていないルートシェルが露出していることが判明しました。これにより、短時間の物理的アクセスがあれば誰でもリモートアクセスが可能になります。

端末の電源を初めて入れた際、通常通り動作し、ネットワークスキャンでも開いているポートは見つかりません。しかし、内部分析により、背面パネルの小さなサービスハッチの下に、未実装のデバッグコネクタがあることが明らかになりました。簡単なシリアルケーブルを接続して端末の電源を入れると、標準的なLinuxのブートログが表示されます。このシステムは、2023年初頭にBuildrootで構築された3.6カーネルで動作し、BusyBoxユーティリティとuClibcライブラリを搭載しています。ブートシーケンスの最後にシリアルコンソールにログインプロンプトが表示され、そこで「root」と入力するだけで、パスワードなしで完全なルートシェルに即座にアクセスできてしまいます。一度侵入されると、攻撃者はマルウェアをインストールしたり、取引データを傍受したり、バックエンドネットワークに侵入したりする可能性があります。

ハードウェアの堅牢性とデバッグポートの盲点

物理的には、Yomani XRは非常に優れた設計が施されています。カスタムのデュアルコアArm ASIC（「Samoa II」）、複数の高密度に圧縮されたPCB、そして広範な改ざん検出機能が採用されています。感圧式のゼブラストリップやジグザグの銅トレースが各基板に配置されており、回路が切断されることで不正な分解を検出します。コイン型電池により、電源が切断されても改ざん防止機能がアクティブに保たれます。配線の露出やPCBへの穴あけは、端末を使用不能にする「赤画面」をトリガーします。

しかし、これらのハードウェア保護はデバッグインターフェースをカバーしていません。保護されていないシリアルポートの存在は、設計全体のセキュリティ目標を損なうものです。

ファームウェア分析と残されたリスク

さらなるファームウェア分析により、端末が実際には2つの異なる処理環境で動作していることが示されています。1つ目のコアは、ネットワーク通信と一般的なビジネスロジックを処理する「安全でない」Linuxアプリケーションを起動します。このコアは、カードリーダー、キーパッド、ディスプレイを管理する専用プロセッサに、2つ目の「安全な」ファームウェアイメージをロードする役割を担っています。この安全なイメージは暗号化され署名されており、改ざん防止機能が損なわれていない場合にのみ実行されます。

この結果、攻撃者がLinuxシェルにアクセスできたとしても、安全なコアを侵害しない限り、カード処理を直接操作することはできません。しかし、アプリケーションコアの侵害は依然として重大なリスクをもたらします。攻撃者はアップデートを妨害したり、ネットワークトラフィックを記録したり、安全なプロセッサを後で標的とするためのバックドアをインストールしたりする可能性があります。

対策と今後の課題

この経路を通じてカードデータが盗まれたという公的な証拠は存在しませんが、保護されていないルートシェルの露出は重大な見落としです。これらの端末を使用している加盟店は、不正なアクセスハッチがないかデバイスを検査し、外部デバッグポートを無効にするファームウェアアップデートをベンダーに要求すべきです。

Worldlineにはこの問題が通知されており、後のファームウェアリリースで修正されたと報告されています。しかし、これらのアップデートが広く展開されるまで、端末運用者は堅牢なハードウェア防御の下に隠された不必要なリスクに直面することになります。

---

元記事: https://gbhackers.com/credit-card-payment-terminal-exploited/