Список включает 12 опасных и критических уязвимостей, которые приводят к серьезным проблемам в оборудовании.

Некоммерческая организация MITRE и Агентство по кибербезопасности и безопасности инфраструктуры (CISA) США опубликовали на сайте Common Weakness Enumeration (CWE) свежий список наиболее «важных» уязвимостей в аппаратном обеспечении за 2021 год.

Список включает 12 наиболее распространенных и критических уязвимостей, которые приводят к серьезным проблемам в оборудовании. По словам MITRE, список предназначен для повышения осведомленности об общих проблемах и предотвращения появления новых уязвимостей.

  1. CWE-1189 — Некорректная изоляция общих ресурсов на системе на кристалле (Improper Isolation of Shared Resources on System-on-a-Chip);

  2. CWE-1191 — Встроенный интерфейс отладки и тестирования с некорректным контролем доступа (On-Chip Debug and Test Interface With Improper Access Control);

  3. CWE-1231 — Некорректное предотвращение модификации битов блокировки (Improper Prevention of Lock Bit Modification);

  4. CWE-1233 — Чувствительные к безопасности элементы управления оборудованием без защиты от битов блокировки (Security-Sensitive Hardware Controls with Missing Lock Bit Protection);

  5. CWE-1240 — Использование криптографического примитива в опасной реализации (Use of a Cryptographic Primitive with a Risky Implementation);

  6. CWE-1244 — Внутренний ресурс подвержен небезопасному уровню или состоянию доступа отладки (Internal Asset Exposed to Unsafe Debug Access Level or State);

  7. CWE-1256 — Некорректное ограничение программных интерфейсов аппаратными функциями (Improper Restriction of Software Interfaces to Hardware Features);

  8. CWE-1260 — Некорректное обработка перекрытия между защищенными диапазонами памяти (Improper Handling of Overlap Between Protected Memory Ranges);

  9. CWE-1272 — Конфиденциальная информация не очищена перед переходом из состояния отладки/питания (Sensitive Information Uncleared Before Debug/Power State Transition);

  10. CWE-1274 — Некорректный контроль доступа к энергозависимой памяти, содержащей загрузочный код (Improper Access Control for Volatile Memory Containing Boot Code);

  11. CWE-1277 — Прошивка не может быть обновлена (Firmware Not Updateable);

  12. CWE-1300 — Некорректная защита физических сторонних каналов (Improper Protection of Physical Side Channels).

CWE-1189 — Некорректная изоляция общих ресурсов на системе на кристалле (Improper Isolation of Shared Resources on System-on-a-Chip);

CWE-1191 — Встроенный интерфейс отладки и тестирования с некорректным контролем доступа (On-Chip Debug and Test Interface With Improper Access Control);

CWE-1231 — Некорректное предотвращение модификации битов блокировки (Improper Prevention of Lock Bit Modification);

CWE-1233 — Чувствительные к безопасности элементы управления оборудованием без защиты от битов блокировки (Security-Sensitive Hardware Controls with Missing Lock Bit Protection);

CWE-1240 — Использование криптографического примитива в опасной реализации (Use of a Cryptographic Primitive with a Risky Implementation);

CWE-1244 — Внутренний ресурс подвержен небезопасному уровню или состоянию доступа отладки (Internal Asset Exposed to Unsafe Debug Access Level or State);

CWE-1256 — Некорректное ограничение программных интерфейсов аппаратными функциями (Improper Restriction of Software Interfaces to Hardware Features);

CWE-1260 — Некорректное обработка перекрытия между защищенными диапазонами памяти (Improper Handling of Overlap Between Protected Memory Ranges);

CWE-1272 — Конфиденциальная информация не очищена перед переходом из состояния отладки/питания (Sensitive Information Uncleared Before Debug/Power State Transition);

CWE-1274 — Некорректный контроль доступа к энергозависимой памяти, содержащей загрузочный код (Improper Access Control for Volatile Memory Containing Boot Code);

CWE-1277 — Прошивка не может быть обновлена (Firmware Not Updateable);

CWE-1300 — Некорректная защита физических сторонних каналов (Improper Protection of Physical Side Channels).

    1. CWE-226 — Конфиденциальная информация в ресурсе не удаляется перед повторным использованием (Sensitive Information in Resource Not Removed Before Reuse);

    2. CWE-1247 — Некорректная защита от напряжения и часов (Improper Protection Against Voltage and Clock Glitches);

    3. CWE-1262 — Некорректный контроль доступа для интрефейса регистров (Improper Access Control for Register Interface);

    4. CWE-1331 — Некорректная изоляция общих ресурсов в сети на кристалле (Improper Isolation of Shared Resources in Network On Chip);

    5. CWE-1332 — Некорректная обработка ошибок, приводящих к пропускам инструкций (Improper Handling of Faults that Lead to Instruction Skips).

    CWE-226 — Конфиденциальная информация в ресурсе не удаляется перед повторным использованием (Sensitive Information in Resource Not Removed Before Reuse);

    CWE-1247 — Некорректная защита от напряжения и часов (Improper Protection Against Voltage and Clock Glitches);

    CWE-1262 — Некорректный контроль доступа для интрефейса регистров (Improper Access Control for Register Interface);

    CWE-1331 — Некорректная изоляция общих ресурсов в сети на кристалле (Improper Isolation of Shared Resources in Network On Chip);

    CWE-1332 — Некорректная обработка ошибок, приводящих к пропускам инструкций (Improper Handling of Faults that Lead to Instruction Skips).

      Источник: securitylab