فهرست خطرناک‌ترین آسیب‌پذیری‌های سخت‌افزاری

به تازگی MITRE، فهرستی متشکل از متداول‌ترین و حیاتی‌ترین خطاهایی که منجر به آسیب‌پذیری‌های سخت‌افزاری جدی می‌شود، به اشتراک گذاشته است. این فهرست در مجموع شامل 12 ضعف‌امنیتی است.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده، فهرست مذکور مورد بررسی قرار گرفته است.

موسسه غیرانتفاعی MITER، این فهرست را با همکاری Hardware CWE Special Internet Group – به اختصار SIG تهیه و منتشر کرده است. SIG، انجمنی متشکل از افرادی به نمایندگی از سازمان‌ها در حوزه‌های طراحی سخت‌افزار، تولید، تحقیق و توسعه، امنیت و همچنین دانشگاه‌ها می‌باشد.

در فهرست مذکور، ضعف‌های سخت‌افزاری با کمک کارشناسان و متخصان آگاه در این زمینه گردآوری شده است. این آسیب‌پذیری‌ها در کدهای برنامه‌نویسی، طراحی یا معماری سخت‌افزار وجود دارند. مهاجم اغلب می‌تواند از این ضعف‌ها برای کنترل سیستم آسیب‌پذیر سوءاستفاده نموده، به اطلاعات حساس یا حیاتی دست پیدا کند یا منجر به بروز اختلال در سرویس‌دهی (Denial-of-Service – به اختصار DoS) شود.

این فهرست به منظور افزایش آگاهی از ضعف‌های رایج سخت‌افزاری و آموزش برنامه‌نویسان و طراحان در مورد چگونگی حذف خطاهای “حیاتی” (Critical) در طول توسعه محصول ارائه شده تا از مشکلات امنیتی و آسیب‌پذیری‌های سخت‌افزاری جلوگیری کنند.

علاوه بر آموزش طراحان و برنامه‌نویسان در مورد چگونگی حذف خطاها در طول توسعه محصول، این فهرست می تواند به تحلیلگران و مهندسان کمک کند تا از آن در تست و ارزیابی امنیتی محصولات استفاده کنند. MITER در ادامه عنوان کرده که مصرف‌کنندگان سخت‌افزار می‌توانند از این فهرست جهت درخواست و تهیه محصولات سخت‌افزاری امن‌تر استفاده کنند.

در نهایت، مدیران ارشد فناوری نیز می‌توانند از این فهرست به‌عنوان معیار سنجش پیشرفت تلاش‌های خود در جهت ایمن کردن منابع سخت‌افزاری سازمان استفاده کنند و مشخص کنند که منابع را جهت توسعه ابزارهای امنیتی یا فرآیندهای خودکار، به درستی بکار گرفته‌اند و این‎که آیا در حال کاهش بخش وسیعی از آسیب‌پذیری‌ها هستند یا خیر.

محققان بر این باورند که ترتیب ضعف‌های سخت‌افزاری مندرج در این فهرست اولویتی نسبت به هم نداشته و همه آن‌ها باید مدنظر قرار بگیرند.

فهرست زیر 12 مورد از مهمترین آسیب‌پذیری‌های امنیتی سخت‌افزاری را از میان 96 ضعف سخت‌افزاری موجود نشان می‌دهد.

CWE-1189	Improper Isolation of Shared Resources on System-on-a-Chip (SoC)
CWE-1191	On-Chip Debug and Test Interface With Improper Access Control
CWE-1231	Improper Prevention of Lock Bit Modification
CWE-1233	Security-Sensitive Hardware Controls with Missing Lock Bit Protection
CWE-1240	Use of a Cryptographic Primitive with a Risky Implementation
CWE-1244	Internal Asset Exposed to Unsafe Debug Access Level or State
CWE-1256	Improper Restriction of Software Interfaces to Hardware Features
CWE-1260	Improper Handling of Overlap Between Protected Memory Ranges
CWE-1272	Sensitive Information Uncleared Before Debug/Power State Transition
CWE-1274	Improper Access Control for Volatile Memory Containing Boot Code
CWE-1277	Firmware Not Updateable
CWE-1300	Improper Protection of Physical Side Channels

MITER در ماه ژوئیه نیز، 25 ضعف رایج و خطرناک را که در طول دو سال گذشته در نرم‌افزارهای مختلف وجود داشته و مورد سوءاستفاده مهاجمان قرار گرفته، به اشتراک گذاشت. گزارش مذکور در نشانی زیر قابل دریافت است.

https://cwe.mitre.org/top25/archive/2021/2021_cwe_top25.html

در سال گذشته میلادی نیز، CISA و FBI فهرستی از 10 ضعف‌امنیتی مهم که بین سال‌های 2016 تا 2019 مورد سوءاستفاده قرار گرفته‌ بودند را منتشر کردند. این فهرست در نشانی زیر قابل مشاهده است.

https://us-cert.cisa.gov/ncas/alerts/aa20-133a

جزییات بیشتر از گزارش ارائه شده توسط MITRE در خصوص 12 ضعف‌ سخت‌افزاری که اخیراً ارائه شده، در نشانی زیر قابل مطالعه است:

https://cwe.mitre.org/scoring/lists/2021_CWE_MIHW.html