فهرست خطرناک‌ترین آسیب‌پذیری‌های سخت‌افزاری

به‌تازگی MITRE، فهرستی متشکل از متداول‌ترین و حیاتی‌ترین خطاهایی که به آسیب‌پذیری‌های سخت‌افزاری جدی، منجر می‌شود، به اشتراک گذاشته است. این فهرست در مجموع شامل ۱۲ ضعف امنیتی است.
به گزارش مرکز مدیریت راهبردی افتا، مؤسسه MITER، این فهرست را با همکاری  Hardware CWE Special Internet Group – به اختصار SIG تهیه و منتشر کرده است. 
انجمن SIG، متشکل از افرادی در حوزه‌های طراحی سخت‌افزار، تولید، تحقیق و توسعه و امنیت و همچنین دانشگاه‌ها است.
در فهرست مذکور، ضعف‌های سخت‌افزاری با کمک کارشناسان و متخصصان آگاه در این زمینه گردآوری شده است. 
این آسیب‌پذیری‌ها در کدهای برنامه‌نویسی، طراحی یا معماری سخت‌افزار وجود دارند. مهاجم اغلب می‌تواند از این ضعف‌ها برای کنترل سیستم آسیب‌پذیر سوءاستفاده و  به اطلاعات حساس یا حیاتی دست پیدا کند یا به بروز اختلال در سرویس‌دهی (Denial-of-Service – به اختصار DoS) منجر شود.
این فهرست به‌منظور افزایش آگاهی از ضعف‌های رایج سخت‌افزاری و آموزش برنامه‌نویسان و طراحان در مورد چگونگی حذف خطاهای “حیاتی” (Critical) در طول توسعه محصول ارائه شده است تا از مشکلات امنیتی و آسیب‌پذیری‌های سخت‌افزاری جلوگیری کنند.
علاوه بر آموزش طراحان و برنامه‌نویسان در مورد چگونگی حذف خطاها در طول توسعه محصول، این فهرست می‌تواند به تحلیلگران و مهندسان کمک کند تا از آن در تست و ارزیابی امنیتی محصولات استفاده کنند. 
شرکت MITER در ادامه عنوان کرده است که مصرف‌کنندگان سخت‌افزار می‌توانند از این فهرست برای درخواست و تهیه محصولات سخت‌افزاری امن‌تر استفاده کنند.
در نهایت، مدیران ارشد فناوری نیز می‌توانند از این فهرست به‌عنوان معیار سنجش پیشرفت تلاش‌های خود برای ایمن کردن منابع سخت‌افزاری سازمان استفاده و مشخص کنند که منابع را جهت توسعه ابزارهای امنیتی یا فرایندهای خودکار، به‌درستی بکار گرفته‌اند و این‎که آیا در حال کاهش بخش وسیعی از آسیب‌پذیری‌ها هستند یا خیر؟
محققان بر این باورند که ترتیب ضعف‌های سخت‌افزاری مندرج در این فهرست اولویتی نسبت به هم ندارند و همه آن‌ها باید مدنظر قرار بگیرند.
فهرست زیر ۱۲ مورد از مهم‌ترین آسیب‌پذیری‌های امنیتی سخت‌افزاری را از میان ۹۶ ضعف سخت‌افزاری موجود نشان می‌دهد.

CWE-۱۱۸۹Improper Isolation of Shared Resources on System-on-a-Chip (SoC)
CWE-۱۱۹۱On-Chip Debug and Test Interface With Improper Access Control
CWE-۱۲۳۱Improper Prevention of Lock Bit Modification
CWE-۱۲۳۳Security-Sensitive Hardware Controls with Missing Lock Bit Protection
CWE-۱۲۴۰Use of a Cryptographic Primitive with a Risky Implementation
CWE-۱۲۴۴Internal Asset Exposed to Unsafe Debug Access Level or State
CWE-۱۲۵۶Improper Restriction of Software Interfaces to Hardware Features
CWE-۱۲۶۰Improper Handling of Overlap Between Protected Memory Ranges
CWE-۱۲۷۲Sensitive Information Uncleared Before Debug/Power State Transition
CWE-۱۲۷۴Improper Access Control for Volatile Memory Containing Boot Code
CWE-۱۲۷۷Firmware Not Updateable
CWE-۱۳۰۰Improper Protection of Physical Side Channels

در ماه ژوئیه نیز شرکتMITER ، ۲۵ ضعف رایج و خطرناک را که در طول دو سال گذشته در نرم‌افزارهای مختلف وجود داشته و مورد سوءاستفاده مهاجمان قرار گرفته است،  به اشتراک گذاشت. گزارش مذکور در نشانی زیر قابل دریافت است.

https://cwe.mitre.org/top۲۵/archive/۲۰۲۱/۲۰۲۱_cwe_top۲۵.html


در سال گذشته میلادی نیز، CISA و FBI فهرستی از ۱۰ ضعف‌امنیتی مهم که بین سال‌های ۲۰۱۶ تا ۲۰۱۹ مورد سوءاستفاده قرار گرفته‌ بودند را منتشر کردند. این فهرست در نشانی زیر قابل مشاهده است.

https://us-cert.cisa.gov/ncas/alerts/aa۲۰-۱۳۳a

جزئیات بیشتر از گزارش ارائه شده توسط شرکت MITRE در خصوص ۱۲ ضعف‌ سخت‌افزاری که اخیراً ارائه شده، در نشانی زیر قابل مطالعه است:

https://cwe.mitre.org/scoring/lists/۲۰۲۱_CWE_MIHW.html

منبع:

https://www.bleepingcomputer.com/news/security/mitre-shares-list-of-most-dangerous-hardware-weaknesses

(با سپاس از شرکت مهندسی شبکه‌گستر برای همکاری در تهیه این گزارش

دیدگاه شما

نشانی ایمیل شما منتشر نخواهد شد.