بهتازگی MITRE، فهرستی متشکل از متداولترین و حیاتیترین خطاهایی که به آسیبپذیریهای سختافزاری جدی، منجر میشود، به اشتراک گذاشته است. این فهرست در مجموع شامل ۱۲ ضعف امنیتی است.
به گزارش مرکز مدیریت راهبردی افتا، مؤسسه MITER، این فهرست را با همکاری Hardware CWE Special Internet Group – به اختصار SIG تهیه و منتشر کرده است.
انجمن SIG، متشکل از افرادی در حوزههای طراحی سختافزار، تولید، تحقیق و توسعه و امنیت و همچنین دانشگاهها است.
در فهرست مذکور، ضعفهای سختافزاری با کمک کارشناسان و متخصصان آگاه در این زمینه گردآوری شده است.
این آسیبپذیریها در کدهای برنامهنویسی، طراحی یا معماری سختافزار وجود دارند. مهاجم اغلب میتواند از این ضعفها برای کنترل سیستم آسیبپذیر سوءاستفاده و به اطلاعات حساس یا حیاتی دست پیدا کند یا به بروز اختلال در سرویسدهی (Denial-of-Service – به اختصار DoS) منجر شود.
این فهرست بهمنظور افزایش آگاهی از ضعفهای رایج سختافزاری و آموزش برنامهنویسان و طراحان در مورد چگونگی حذف خطاهای “حیاتی” (Critical) در طول توسعه محصول ارائه شده است تا از مشکلات امنیتی و آسیبپذیریهای سختافزاری جلوگیری کنند.
علاوه بر آموزش طراحان و برنامهنویسان در مورد چگونگی حذف خطاها در طول توسعه محصول، این فهرست میتواند به تحلیلگران و مهندسان کمک کند تا از آن در تست و ارزیابی امنیتی محصولات استفاده کنند.
شرکت MITER در ادامه عنوان کرده است که مصرفکنندگان سختافزار میتوانند از این فهرست برای درخواست و تهیه محصولات سختافزاری امنتر استفاده کنند.
در نهایت، مدیران ارشد فناوری نیز میتوانند از این فهرست بهعنوان معیار سنجش پیشرفت تلاشهای خود برای ایمن کردن منابع سختافزاری سازمان استفاده و مشخص کنند که منابع را جهت توسعه ابزارهای امنیتی یا فرایندهای خودکار، بهدرستی بکار گرفتهاند و اینکه آیا در حال کاهش بخش وسیعی از آسیبپذیریها هستند یا خیر؟
محققان بر این باورند که ترتیب ضعفهای سختافزاری مندرج در این فهرست اولویتی نسبت به هم ندارند و همه آنها باید مدنظر قرار بگیرند.
فهرست زیر ۱۲ مورد از مهمترین آسیبپذیریهای امنیتی سختافزاری را از میان ۹۶ ضعف سختافزاری موجود نشان میدهد.
CWE-۱۱۸۹ | Improper Isolation of Shared Resources on System-on-a-Chip (SoC) |
CWE-۱۱۹۱ | On-Chip Debug and Test Interface With Improper Access Control |
CWE-۱۲۳۱ | Improper Prevention of Lock Bit Modification |
CWE-۱۲۳۳ | Security-Sensitive Hardware Controls with Missing Lock Bit Protection |
CWE-۱۲۴۰ | Use of a Cryptographic Primitive with a Risky Implementation |
CWE-۱۲۴۴ | Internal Asset Exposed to Unsafe Debug Access Level or State |
CWE-۱۲۵۶ | Improper Restriction of Software Interfaces to Hardware Features |
CWE-۱۲۶۰ | Improper Handling of Overlap Between Protected Memory Ranges |
CWE-۱۲۷۲ | Sensitive Information Uncleared Before Debug/Power State Transition |
CWE-۱۲۷۴ | Improper Access Control for Volatile Memory Containing Boot Code |
CWE-۱۲۷۷ | Firmware Not Updateable |
CWE-۱۳۰۰ | Improper Protection of Physical Side Channels |
در ماه ژوئیه نیز شرکتMITER ، ۲۵ ضعف رایج و خطرناک را که در طول دو سال گذشته در نرمافزارهای مختلف وجود داشته و مورد سوءاستفاده مهاجمان قرار گرفته است، به اشتراک گذاشت. گزارش مذکور در نشانی زیر قابل دریافت است.
https://cwe.mitre.org/top۲۵/archive/۲۰۲۱/۲۰۲۱_cwe_top۲۵.html
در سال گذشته میلادی نیز، CISA و FBI فهرستی از ۱۰ ضعفامنیتی مهم که بین سالهای ۲۰۱۶ تا ۲۰۱۹ مورد سوءاستفاده قرار گرفته بودند را منتشر کردند. این فهرست در نشانی زیر قابل مشاهده است.
https://us-cert.cisa.gov/ncas/alerts/aa۲۰-۱۳۳a
جزئیات بیشتر از گزارش ارائه شده توسط شرکت MITRE در خصوص ۱۲ ضعف سختافزاری که اخیراً ارائه شده، در نشانی زیر قابل مطالعه است:
https://cwe.mitre.org/scoring/lists/۲۰۲۱_CWE_MIHW.html
منبع:
(با سپاس از شرکت مهندسی شبکهگستر برای همکاری در تهیه این گزارش
دیدگاه شما