سازمانهای MITRE و CISA لیست «Common Weakness Enumeration (CWE) از مهمترین ضعفهای امنیتی سختافزاری سال 2021» را منتشر کردند.
شرکت MITRE و دپارتمان امنیت ملی (DHS) سازمان امنیت سایبری و امنیت زیرساخت امریکا (CISA) لیست «Common Weakness Enumeration (CWE) از مهمترین ضعفهای سختافزاری سال 2021» را منتشر کردهاند.
این لیست با هدف افزایش آگاهی در زمینه ضعفهای امنیتی سختافزاری CWE و آموزش به طراحان و برنامهنویسان منتشر شده است تا در چرخه عمر توسعه محصولات خود، تمهیداتی را نیز برای این نقصهای امنیتی در نظر بگیرند. لیست مذکور شامل 12 آسیبپذیری است که درجه ریسک میان 1.03 و 1.42 دارند (بالاترین درجه 2.0 است).
نقاط ضعفی که توسط این دو سازمان در لیست CWE منتشر شدهاند عبارتند از:
توصیف آسیبپذیری | شناسه CWE |
Improper Isolation of Shared Resources on System-on-a-Chip (SoC) | CWE-1189 |
On-Chip Debug and Test Interface With Improper Access Control | CWE-1191 |
Improper Prevention of Lock Bit Modification | CWE-1231 |
Security-Sensitive Hardware Controls with Missing Lock Bit Protection | CWE-1233 |
Use of a Cryptographic Primitive with a Risky Implementation | CWE-1240 |
Internal Asset Exposed to Unsafe Debug Access Level or State | CWE-1244 |
Improper Restriction of Software Interfaces to Hardware Features | CWE-1256 |
Improper Handling of Overlap Between Protected Memory Ranges | CWE-1260 |
Sensitive Information Uncleared Before Debug/Power State Transition | CWE-1272 |
Improper Access Control for Volatile Memory Containing Boot Code | CWE-1274 |
Firmware Not Updateable | CWE-1277 |
Improper Protection of Physical Side Channels | CWE-1300 |
مدیران ارشد اطلاعات و مدیران امنیت میتوانند این لیست را برای ارزیابی کارایی برنامههای امنیت سختافزاری سازمانهای خود به کار ببرند.
کارشناسان لیست دیگری از 5 نقطه ضعف تکمیلی منتشر کردهاند که شامل نقاط ضعف سختافزاری Cusp است و باید توسط مدیران ریسک مورد توجه واقع شود:
توصیف آسیبپذیری | شناسه CWE |
Sensitive Information in Resource Not Removed Before Reuse | CWE-226 |
Improper Protection Against Voltage and Clock Glitches | CWE-1247 |
Improper Access Control for Register Interface | CWE-1262 |
Improper Isolation of Shared Resources in Network On Chip (NoC) | CWE-1331 |
Improper Handling of Faults that Lead to Instruction Skips | CWE-1332 |
در قسمت توضیحات این لیست آمده است:
«لیست مهمترین نقاط ضعف سختافزاری CWE 2021» اولین لیست در این زمینه است و در نتیجهی همکاری با گروه SIG (Hardware CWE Special Interest Group)، تهیه شده است. این گروه یک فروم است که در آن نمایندگانی از سازمانهای فعال در زمینههای طراحی سختافزار، ساخت، تحقیقات و دامنههای امنیت حضور دارند».
در ادامهی این توضیحات آمده است:
«تحلیلگران امنیت و مهندسان تست نرمافزار میتوانند این لیست را برای تهیهی برنامههای تست و ارزیابی امنیت به کار ببرند. خریداران سختافزار نیز میتوانند از این لیست برای خرید سختافزارهای با امنیت بالا از تامینکنندگان استفاده کنند. در نهایت، کاربرد این لیست برای مدیران و به خصوص مدیران ارشد اطلاعات، موارد زیر است: ارزیابی میزان پیشرفت در اقدامات امنیتی برای ایمنسازی سختافزار، تعیین چگونگی تخصیص منابع برای توسعهی ابزارهای امنیتی و اتوماسیون پروسههایی که بنیادی گروه بزرگی از آسیبپذیریها را با از بین بردن دلیل ریشهای آنها از بین میبرند».