به تازگی MITRE، فهرستی متشکل از متداولترین و حیاتیترین خطاهایی که منجر به آسیبپذیریهای سختافزاری جدی میشود، به اشتراک گذاشته است. این فهرست در مجموع شامل 12 ضعفامنیتی است.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده، فهرست مذکور مورد بررسی قرار گرفته است.
موسسه غیرانتفاعی MITER، این فهرست را با همکاری Hardware CWE Special Internet Group – به اختصار SIG تهیه و منتشر کرده است. SIG، انجمنی متشکل از افرادی به نمایندگی از سازمانها در حوزههای طراحی سختافزار، تولید، تحقیق و توسعه، امنیت و همچنین دانشگاهها میباشد.
در فهرست مذکور، ضعفهای سختافزاری با کمک کارشناسان و متخصان آگاه در این زمینه گردآوری شده است. این آسیبپذیریها در کدهای برنامهنویسی، طراحی یا معماری سختافزار وجود دارند. مهاجم اغلب میتواند از این ضعفها برای کنترل سیستم آسیبپذیر سوءاستفاده نموده، به اطلاعات حساس یا حیاتی دست پیدا کند یا منجر به بروز اختلال در سرویسدهی (Denial-of-Service – به اختصار DoS) شود.
این فهرست به منظور افزایش آگاهی از ضعفهای رایج سختافزاری و آموزش برنامهنویسان و طراحان در مورد چگونگی حذف خطاهای “حیاتی” (Critical) در طول توسعه محصول ارائه شده تا از مشکلات امنیتی و آسیبپذیریهای سختافزاری جلوگیری کنند.
علاوه بر آموزش طراحان و برنامهنویسان در مورد چگونگی حذف خطاها در طول توسعه محصول، این فهرست می تواند به تحلیلگران و مهندسان کمک کند تا از آن در تست و ارزیابی امنیتی محصولات استفاده کنند. MITER در ادامه عنوان کرده که مصرفکنندگان سختافزار میتوانند از این فهرست جهت درخواست و تهیه محصولات سختافزاری امنتر استفاده کنند.
در نهایت، مدیران ارشد فناوری نیز میتوانند از این فهرست بهعنوان معیار سنجش پیشرفت تلاشهای خود در جهت ایمن کردن منابع سختافزاری سازمان استفاده کنند و مشخص کنند که منابع را جهت توسعه ابزارهای امنیتی یا فرآیندهای خودکار، به درستی بکار گرفتهاند و اینکه آیا در حال کاهش بخش وسیعی از آسیبپذیریها هستند یا خیر.
محققان بر این باورند که ترتیب ضعفهای سختافزاری مندرج در این فهرست اولویتی نسبت به هم نداشته و همه آنها باید مدنظر قرار بگیرند.
فهرست زیر 12 مورد از مهمترین آسیبپذیریهای امنیتی سختافزاری را از میان 96 ضعف سختافزاری موجود نشان میدهد.
Improper Isolation of Shared Resources on System-on-a-Chip (SoC) | |
On-Chip Debug and Test Interface With Improper Access Control | |
Improper Prevention of Lock Bit Modification | |
Security-Sensitive Hardware Controls with Missing Lock Bit Protection | |
Use of a Cryptographic Primitive with a Risky Implementation | |
Internal Asset Exposed to Unsafe Debug Access Level or State | |
Improper Restriction of Software Interfaces to Hardware Features | |
Improper Handling of Overlap Between Protected Memory Ranges | |
Sensitive Information Uncleared Before Debug/Power State Transition | |
Improper Access Control for Volatile Memory Containing Boot Code | |
Firmware Not Updateable | |
Improper Protection of Physical Side Channels |
MITER در ماه ژوئیه نیز، 25 ضعف رایج و خطرناک را که در طول دو سال گذشته در نرمافزارهای مختلف وجود داشته و مورد سوءاستفاده مهاجمان قرار گرفته، به اشتراک گذاشت. گزارش مذکور در نشانی زیر قابل دریافت است.
https://cwe.mitre.org/top25/archive/2021/2021_cwe_top25.html
در سال گذشته میلادی نیز، CISA و FBI فهرستی از 10 ضعفامنیتی مهم که بین سالهای 2016 تا 2019 مورد سوءاستفاده قرار گرفته بودند را منتشر کردند. این فهرست در نشانی زیر قابل مشاهده است.
https://us-cert.cisa.gov/ncas/alerts/aa20-133a
جزییات بیشتر از گزارش ارائه شده توسط MITRE در خصوص 12 ضعف سختافزاری که اخیراً ارائه شده، در نشانی زیر قابل مطالعه است: