Список включает 12 опасных и критических уязвимостей, которые приводят к серьезным проблемам в оборудовании.
Некоммерческая организация MITRE и Агентство по кибербезопасности и безопасности инфраструктуры (CISA) США опубликовали на сайте Common Weakness Enumeration (CWE) свежий список наиболее «важных» уязвимостей в аппаратном обеспечении за 2021 год.
Список включает 12 наиболее распространенных и критических уязвимостей, которые приводят к серьезным проблемам в оборудовании. По словам MITRE, список предназначен для повышения осведомленности об общих проблемах и предотвращения появления новых уязвимостей.
-
CWE-1189 — Некорректная изоляция общих ресурсов на системе на кристалле (Improper Isolation of Shared Resources on System-on-a-Chip);
-
CWE-1191 — Встроенный интерфейс отладки и тестирования с некорректным контролем доступа (On-Chip Debug and Test Interface With Improper Access Control);
-
CWE-1231 — Некорректное предотвращение модификации битов блокировки (Improper Prevention of Lock Bit Modification);
-
CWE-1233 — Чувствительные к безопасности элементы управления оборудованием без защиты от битов блокировки (Security-Sensitive Hardware Controls with Missing Lock Bit Protection);
-
CWE-1240 — Использование криптографического примитива в опасной реализации (Use of a Cryptographic Primitive with a Risky Implementation);
-
CWE-1244 — Внутренний ресурс подвержен небезопасному уровню или состоянию доступа отладки (Internal Asset Exposed to Unsafe Debug Access Level or State);
-
CWE-1256 — Некорректное ограничение программных интерфейсов аппаратными функциями (Improper Restriction of Software Interfaces to Hardware Features);
-
CWE-1260 — Некорректное обработка перекрытия между защищенными диапазонами памяти (Improper Handling of Overlap Between Protected Memory Ranges);
-
CWE-1272 — Конфиденциальная информация не очищена перед переходом из состояния отладки/питания (Sensitive Information Uncleared Before Debug/Power State Transition);
-
CWE-1274 — Некорректный контроль доступа к энергозависимой памяти, содержащей загрузочный код (Improper Access Control for Volatile Memory Containing Boot Code);
-
CWE-1277 — Прошивка не может быть обновлена (Firmware Not Updateable);
-
CWE-1300 — Некорректная защита физических сторонних каналов (Improper Protection of Physical Side Channels).
CWE-1189 — Некорректная изоляция общих ресурсов на системе на кристалле (Improper Isolation of Shared Resources on System-on-a-Chip);
CWE-1191 — Встроенный интерфейс отладки и тестирования с некорректным контролем доступа (On-Chip Debug and Test Interface With Improper Access Control);
CWE-1231 — Некорректное предотвращение модификации битов блокировки (Improper Prevention of Lock Bit Modification);
CWE-1233 — Чувствительные к безопасности элементы управления оборудованием без защиты от битов блокировки (Security-Sensitive Hardware Controls with Missing Lock Bit Protection);
CWE-1240 — Использование криптографического примитива в опасной реализации (Use of a Cryptographic Primitive with a Risky Implementation);
CWE-1244 — Внутренний ресурс подвержен небезопасному уровню или состоянию доступа отладки (Internal Asset Exposed to Unsafe Debug Access Level or State);
CWE-1256 — Некорректное ограничение программных интерфейсов аппаратными функциями (Improper Restriction of Software Interfaces to Hardware Features);
CWE-1260 — Некорректное обработка перекрытия между защищенными диапазонами памяти (Improper Handling of Overlap Between Protected Memory Ranges);
CWE-1272 — Конфиденциальная информация не очищена перед переходом из состояния отладки/питания (Sensitive Information Uncleared Before Debug/Power State Transition);
CWE-1274 — Некорректный контроль доступа к энергозависимой памяти, содержащей загрузочный код (Improper Access Control for Volatile Memory Containing Boot Code);
CWE-1277 — Прошивка не может быть обновлена (Firmware Not Updateable);
CWE-1300 — Некорректная защита физических сторонних каналов (Improper Protection of Physical Side Channels).
-
CWE-226 — Конфиденциальная информация в ресурсе не удаляется перед повторным использованием (Sensitive Information in Resource Not Removed Before Reuse);
-
CWE-1247 — Некорректная защита от напряжения и часов (Improper Protection Against Voltage and Clock Glitches);
-
CWE-1262 — Некорректный контроль доступа для интрефейса регистров (Improper Access Control for Register Interface);
-
CWE-1331 — Некорректная изоляция общих ресурсов в сети на кристалле (Improper Isolation of Shared Resources in Network On Chip);
-
CWE-1332 — Некорректная обработка ошибок, приводящих к пропускам инструкций (Improper Handling of Faults that Lead to Instruction Skips).
CWE-226 — Конфиденциальная информация в ресурсе не удаляется перед повторным использованием (Sensitive Information in Resource Not Removed Before Reuse);
CWE-1247 — Некорректная защита от напряжения и часов (Improper Protection Against Voltage and Clock Glitches);
CWE-1262 — Некорректный контроль доступа для интрефейса регистров (Improper Access Control for Register Interface);
CWE-1331 — Некорректная изоляция общих ресурсов в сети на кристалле (Improper Isolation of Shared Resources in Network On Chip);
CWE-1332 — Некорректная обработка ошибок, приводящих к пропускам инструкций (Improper Handling of Faults that Lead to Instruction Skips).
Источник: securitylab