فهرست خطرناک‌ترین آسیب‌پذیری‌های سخت‌افزاری

به تازگی MITRE، فهرستی متشکل از متداول‌ترین و حیاتی‌ترین خطاهایی که منجر به آسیب‌پذیری‌های سخت‌افزاری جدی می‌شود، به اشتراک گذاشته است. این فهرست در مجموع شامل 12 ضعف‌امنیتی است.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده، فهرست مذکور مورد بررسی قرار گرفته است.

موسسه غیرانتفاعی MITER، این فهرست را با همکاری  Hardware CWE Special Internet Group – به اختصار SIG تهیه و منتشر کرده است. SIG، انجمنی متشکل از افرادی به نمایندگی از سازمان‌ها در حوزه‌های طراحی سخت‌افزار، تولید، تحقیق و توسعه، امنیت و همچنین دانشگاه‌ها می‌باشد.

در فهرست مذکور، ضعف‌های سخت‌افزاری با کمک کارشناسان و متخصان آگاه در این زمینه گردآوری شده است. این آسیب‌پذیری‌ها در کدهای برنامه‌نویسی، طراحی یا معماری سخت‌افزار وجود دارند. مهاجم اغلب می‌تواند از این ضعف‌ها برای کنترل سیستم آسیب‌پذیر سوءاستفاده نموده، به اطلاعات حساس یا حیاتی دست پیدا کند یا منجر به بروز اختلال در سرویس‌دهی (Denial-of-Service – به اختصار DoS) شود.

این فهرست به منظور افزایش آگاهی از ضعف‌های رایج سخت‌افزاری و آموزش برنامه‌نویسان و طراحان در مورد چگونگی حذف خطاهای “حیاتی” (Critical) در طول توسعه محصول ارائه شده تا از مشکلات امنیتی و آسیب‌پذیری‌های سخت‌افزاری جلوگیری کنند.

علاوه بر آموزش طراحان و برنامه‌نویسان در مورد چگونگی حذف خطاها در طول توسعه محصول، این فهرست می تواند به تحلیلگران و مهندسان کمک کند تا از آن در تست و ارزیابی امنیتی محصولات استفاده کنند. MITER در ادامه عنوان کرده که مصرف‌کنندگان سخت‌افزار می‌توانند از این فهرست جهت درخواست و تهیه محصولات سخت‌افزاری امن‌تر استفاده کنند.

در نهایت، مدیران ارشد فناوری نیز می‌توانند از این فهرست به‌عنوان معیار سنجش پیشرفت تلاش‌های خود در جهت ایمن کردن منابع سخت‌افزاری سازمان استفاده کنند و مشخص کنند که منابع را جهت توسعه ابزارهای امنیتی یا فرآیندهای خودکار، به درستی بکار گرفته‌اند و این‎که آیا در حال کاهش بخش وسیعی از آسیب‌پذیری‌ها هستند یا خیر.

محققان بر این باورند که ترتیب ضعف‌های سخت‌افزاری مندرج در این فهرست اولویتی نسبت به هم نداشته و همه آن‌ها باید مدنظر قرار بگیرند.

فهرست زیر 12 مورد از مهمترین آسیب‌پذیری‌های امنیتی سخت‌افزاری را از میان 96 ضعف سخت‌افزاری موجود نشان می‌دهد.

 

 

CWE-1189

Improper Isolation of Shared Resources on System-on-a-Chip (SoC)

CWE-1191

On-Chip Debug and Test Interface With Improper Access Control

CWE-1231

Improper Prevention of Lock Bit Modification

CWE-1233

Security-Sensitive Hardware Controls with Missing Lock Bit Protection

CWE-1240

Use of a Cryptographic Primitive with a Risky Implementation

CWE-1244

Internal Asset Exposed to Unsafe Debug Access Level or State

CWE-1256

Improper Restriction of Software Interfaces to Hardware Features

CWE-1260

Improper Handling of Overlap Between Protected Memory Ranges

CWE-1272

Sensitive Information Uncleared Before Debug/Power State Transition

CWE-1274

Improper Access Control for Volatile Memory Containing Boot Code

CWE-1277

Firmware Not Updateable

CWE-1300

Improper Protection of Physical Side Channels

 

 

 

MITER در ماه ژوئیه نیز، 25 ضعف رایج و خطرناک را که در طول دو سال گذشته در نرم‌افزارهای مختلف وجود داشته و مورد سوءاستفاده مهاجمان قرار گرفته، به اشتراک گذاشت. گزارش مذکور در نشانی زیر قابل دریافت است.

https://cwe.mitre.org/top25/archive/2021/2021_cwe_top25.html

در سال گذشته میلادی نیز، CISA و FBI فهرستی از 10 ضعف‌امنیتی مهم که بین سال‌های 2016 تا 2019 مورد سوءاستفاده قرار گرفته‌ بودند را منتشر کردند. این فهرست در نشانی زیر قابل مشاهده است.

https://us-cert.cisa.gov/ncas/alerts/aa20-133a

جزییات بیشتر از گزارش ارائه شده توسط MITRE در خصوص 12 ضعف‌ سخت‌افزاری که اخیراً ارائه شده، در نشانی زیر قابل مطالعه است:

https://cwe.mitre.org/scoring/lists/2021_CWE_MIHW.html

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *