یکشنبه 14 آذر 1400   06:38:25
 

فهرست خطرناک‌ترین آسیب‌پذیری‌های سخت‌افزاری





به ‌تازگی MITRE، فهرستی متشکل از متداول‌ترین و حیاتی‌ترین خطاهایی که به آسیب‌پذیری‌های سخت‌افزاری جدی، منجر می‌شود، به اشتراک گذاشته است. این فهرست در مجموع شامل ۱۲ ضعف امنیتی است.


 مؤسسه MITER، این فهرست را با همکاری  Hardware CWE Special Internet Group – به اختصار SIG تهیه و منتشر کرده است. 

انجمن SIG، متشکل از افرادی در حوزه‌های طراحی سخت‌افزار، تولید، تحقیق و توسعه و امنیت و همچنین دانشگاه‌ها است.
در فهرست مذکور، ضعف‌های سخت‌افزاری با کمک کارشناسان و متخصصان آگاه در این زمینه گردآوری شده است. 

این آسیب‌پذیری‌ها در کدهای برنامه‌نویسی، طراحی یا معماری سخت‌افزار وجود دارند. مهاجم اغلب می‌تواند از این ضعف‌ها برای کنترل سیستم آسیب‌پذیر سوءاستفاده و  به اطلاعات حساس یا حیاتی دست پیدا کند یا به بروز اختلال در سرویس‌دهی (Denial-of-Service - به اختصار DoS) منجر شود.

این فهرست به‌منظور افزایش آگاهی از ضعف‌های رایج سخت‌افزاری و آموزش برنامه‌نویسان و طراحان در مورد چگونگی حذف خطاهای "حیاتی" (Critical) در طول توسعه محصول ارائه شده است تا از مشکلات امنیتی و آسیب‌پذیری‌های سخت‌افزاری جلوگیری کنند.

علاوه بر آموزش طراحان و برنامه‌نویسان در مورد چگونگی حذف خطاها در طول توسعه محصول، این فهرست می‌تواند به تحلیلگران و مهندسان کمک کند تا از آن در تست و ارزیابی امنیتی محصولات استفاده کنند. 

شرکت MITER در ادامه عنوان کرده است که مصرف‌کنندگان سخت‌افزار می‌توانند از این فهرست برای درخواست و تهیه محصولات سخت‌افزاری امن‌تر استفاده کنند.

محققان بر این باورند که ترتیب ضعف‌های
سخت‌افزاری مندرج در این فهرست اولویتی نسبت به هم ندارند و همه آن‌ها باید مدنظر قرار بگیرند.

فهرست زیر ۱۲ مورد از مهم‌ترین آسیب‌پذیری‌های امنیتی سخت‌افزاری را از میان ۹۶ ضعف سخت‌افزاری موجود نشان می‌دهد.
 
CWE-۱۱۸۹ Improper Isolation of Shared Resources on System-on-a-Chip (SoC)
CWE-۱۱۹۱ On-Chip Debug and Test Interface With Improper Access Control
CWE-۱۲۳۱ Improper Prevention of Lock Bit Modification
CWE-۱۲۳۳ Security-Sensitive Hardware Controls with Missing Lock Bit Protection
CWE-۱۲۴۰ Use of a Cryptographic Primitive with a Risky Implementation
CWE-۱۲۴۴ Internal Asset Exposed to Unsafe Debug Access Level or State
CWE-۱۲۵۶ Improper Restriction of Software Interfaces to Hardware Features
CWE-۱۲۶۰ Improper Handling of Overlap Between Protected Memory Ranges
CWE-۱۲۷۲ Sensitive Information Uncleared Before Debug/Power State Transition
CWE-۱۲۷۴ Improper Access Control for Volatile Memory Containing Boot Code
CWE-۱۲۷۷ Firmware Not Updateable
CWE-۱۳۰۰ Improper Protection of Physical Side Channels


در ماه ژوئیه نیز شرکتMITER ، ۲۵ ضعف رایج و خطرناک را که در طول دو سال گذشته در نرم‌افزارهای مختلف وجود داشته و مورد سوءاستفاده مهاجمان قرار گرفته است،  به اشتراک گذاشت. گزارش مذکور در نشانی زیر قابل دریافت است.

در سال گذشته میلادی نیز، CISA و FBI فهرستی از ۱۰ ضعف‌امنیتی مهم که بین سال‌های ۲۰۱۶ تا ۲۰۱۹ مورد سوءاستفاده قرار گرفته‌ بودند را منتشر کردند. این فهرست در نشانی زیر قابل مشاهده است.

جزئیات بیشتر از گزارش ارائه شده توسط شرکت MITRE در خصوص ۱۲ ضعف‌ سخت‌افزاری که اخیراً ارائه شده، در نشانی زیر قابل مطالعه است:

 

منبع:


 



کلمات کليدي
 
امتیاز دهی
 
 

تعداد بازديد اين صفحه: 65686
تعداد بازديد کنندگان سايت: 179212342 تعداد بازديد زيرپورتال: 67535 اين زيرپورتال امروز: 34 سایت در امروز: 7324 اين صفحه امروز: 31
کلیه حقوق این سایت متعلق به وزارت نفت جمهوری اسلامی ایران میباشد.
استفاده از اطلاعات این سایت با ذکر منبع بلامانع است.
Best View in 1024x768