聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
MITRE 和美国国土安全部 (DHS) 网络安全和基础设施安全局 (CISA) 发布“2021年CWE 最重要的硬件弱点”榜单。
该榜单由可导致严重硬件漏洞的最常见和最严重的错误组成,共包含12种错误。另外,MITRE 还介绍了该榜单外排名最靠前的5个弱点。
榜单有助于指导设计人员和程序员在产品开发过程中如何消除错误,同时有助于分析师和工程师规划安全测试和安全评估,还可帮助客户要求供应商交付更安全的硬件。此外,管理人员和首席信息官可以评估硬件保护情况,确定资源投入以构建工具和自动化进程,缓解更多的漏洞类型。
榜单如下:
CWE-1189 | 对片上系统上的共享资源隔离不当 |
CWE-1191 | 片上调试和测试接口的访问控制不当 |
CWE-1231 | 对锁位 (lock bit) 修改的防御不当 |
CWE-1233 | 缺失锁位防护的安全敏感硬件控制 |
CWE-1240 | 使用实现存在风险的加密原语 |
CWE-1244 | 内部资产暴露到不安全的调试访问水平或状态 |
CWE-1256 | 对硬件特性软件接口的限制不当 |
CWE-1260 | 对受保护内存范围之间的重合处理不当 |
CWE-1272 | 在调试/电源状态转换之前未明确敏感信息 |
CWE-1274 | 对包含引导代码的易失内存的访问控制不当 |
CWE-1277 | 固件不可更新 |
CWE-1300 | 物理端信道防护不力 |
其它5个弱点紧随其后,而且决策制定者和缓解措施执行人员也应当在分析中考虑这些风险。
CWE-226 | 在复用前未删除资源中的敏感信息 |
CWE-1247 | 对电压和种表追踪问题的防御不当 |
CWE-1262 | 对注册界面的访问控制不当 |
CWE-1331 | 对片上网络 (NoC) 中共享资源的隔离不当 |
CWE-1332 | 对导致指令遗漏的故障处理不当 |
MITRE 指出,漏洞的重要性不应以榜单的先后顺序作为判断标准。这些硬件弱点的重要性几乎一样。未来榜单将包含更多弱点,以期更好地为社区服务。CISA 鼓励用户和管理员查看该榜单和推荐的缓解措施,以便确定它们的适用性。CISA 指出,“2021年的硬件榜单汇编了最常见和最严重的错误,它们可导致硬件中出现严重漏洞。攻击者通常可以利用这些漏洞控制受影响系统、获取敏感信息或引发拒绝服务条件。”
推荐阅读
MITRE 发布2021 CWE Top 25 榜单
模拟最大黑客组织 FIN6 的行为,MITRE 免费助力网络安全防御
MITRE 发布防御知识库 Shield
MITRE 发布 2020 CWE Top 25 榜单
美国国防部推出硬件漏洞奖励计划,最高悬赏2.5万美元
苹果被曝 “无法修复的永久性”硬件级漏洞,影响所有 iOS 设备
原文链接
https://www.securityweek.com/mitre-cisa-announce-2021-list-most-common-hardware-weaknesses
https://cwe.mitre.org/scoring/lists/2021_CWE_MIHW.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~