انتشار فهرست آسیب‌پذیری‌های سخت‌افزاری خطرناک توسط MITRE

[۱]MITRE فهرستی از خطرناک‌ترین نقص‌های امنیتی که در معماری، طراحی و برنامه‌نویسی سخت‌افزارها در سال ۲۰۲۱ میلادی گزارش شده‌اند را منتشر کرد. این ضعف‌های امنیتی منجر به ایجاد آسیب‌پذیری‌های قابل بهره‌برداری توسط مهاجمان شده و سیستم‌ها را در برابر حملات سایبری آسیب‌پذیر می‌کنند.

فهرست ارایه شده، نتیجه همکاری‌های صورت گرفته بین مؤسسه غیرانتفاعی MITRE با نمایندگان شرکت‌های فعال در حوزه امنیت، پژوهش، طراحی و تولید سخت‌افزار است.

 

فهرست نقاط ضعف سخت‌افزاری

هدف اصلی گزارش مهمترین نقاط ضعف‌ سخت‌افزاری CWE 2021، ایجاد آگاهی نسبت به نقطه ضعف‌های متداول و رایج سخت‌افزاری است. این اقدام می‌تواند با ارایه آموزش‌های اصولی به برنامه‌نویسان و طراحان درباره اشتباهات مهم و حیاتی‌شان در مراحل چرخه حیات توسعه محصولات، به رفع مشکلات امنیتی سخت‌افزارها کمک کند. تحلیلگران امنیتی و کارشناسان آزمون نرم‌افزارها نیز می‌توانند از این فهرست برای ایجاد طرح‌های ارزیابی امنیتی استفاده کنند.

فهرستی که در زیر مشاهده می‌کنید، شامل ۱۰ مورد از مهمترین و نگران‌کننده‌ترین نقاط ضعف امنیتی سخت‌افزارها است:

CWE-1189 عدم تفکیک صحیح منابع به اشتراک گذاشته در سیستم، بر روی تراشه
CWE-1191 عدم اعمال کنترل دسترسی مناسب برای رابط کاربری عیب‌یابی و تست بر روی تراشه
CWE-1231 عدم پیشگیری صحیح و مناسب تغییر بیت قفل
CWE-1233 عدم حفاظت از کنترل‌های سخت‌افزاری حساس توسط بیت قفل
CWE-1240 استفاده از الگوریتم‌های رمزنگاری ساده و پیاده‌سازی اشتباه و پرخطر
CWE-1244 قرار گرفتن تجهیزات متصل به اینترنت در وضعیت اشتباه یا سطح دسترسی عیب‌یابی ناامن
CWE-1256 محدودیت‌های نامناسب رابط‌های نرم‌افزاری در برابر امکانات سخت‌افزاری
CWE-1260 عدم مدیریت درست همپوشانی بین محدوده‌های حفاظت شده توسط حافظه
CWE-1272 عدم پاک‌سازی اطلاعات حساس، قبل از عیب‌یابی و تعمیر
CWE-1274 در نظر نگرفتن سازوکار کنترل دسترسی مناسب برای حافظه فرار حاوی کد بوت
CWE-1277 عدم امکان به‌روزرسانی میان‌افزار
CWE-1300 عدم وجود سازوکارهای حفاظتی مناسب برای کانال‌های جانبی فیزیکی

بنا بر گفته MITRE: «مصرف‌کنندگان سخت‌افزارها می‌توانند از این فهرست برای درخواست محصولاتی امن‌تر از تأمین‌کنندگان استفاده کنند … مدیران و مدیران ارشد فناوری اطلاعات هم می‌توانند از آن به عنوان ابزاری جهت ارزیابی میزان پیشرفت تلاش‌های‌شان برای امن‌سازی سخت‌افزار و تشخیص حوزه‌های مناسب در سرمایه‌گذاری استفاده کرده تا بتوانند فرایندهای خودکارساز یا ابزارهای امنیتی را طراحی و ایجاد کنند که با حذف مشکلات بنیادی، منجر به برطرف کردن طیف وسیعی از آسیب‌پذیری‌ها می‌شوند».

 

[۱] یک پایگاه دانش که شامل رویکردهای هکرها برای اجرای حملات سایبری و راهکارهای خصمانه بوده و در دسترس همگان قرار دارد.

[۲] Common Weakness Enumeration

 

منبع: bleepingcomputer

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.

سبد خرید
  • هیچ محصولی در سبدخرید نیست.
ورود | ثبت نام
شماره موبایل یا پست الکترونیک خود را وارد کنید
برگشت
کد تایید را وارد کنید
کد تایید برای شماره موبایل شما ارسال گردید
ارسال مجدد کد تا دیگر
برگشت
رمز عبور را وارد کنید
رمز عبور حساب کاربری خود را وارد کنید
برگشت
رمز عبور را وارد کنید
رمز عبور حساب کاربری خود را وارد کنید
برگشت
درخواست بازیابی رمز عبور
لطفاً پست الکترونیک یا موبایل خود را وارد نمایید
برگشت
کد تایید را وارد کنید
کد تایید برای شماره موبایل شما ارسال گردید
ارسال مجدد کد تا دیگر
ایمیل بازیابی ارسال شد!
لطفاً به صندوق الکترونیکی خود مراجعه کرده و بر روی لینک ارسال شده کلیک نمایید.
تغییر رمز عبور
یک رمز عبور برای اکانت خود تنظیم کنید
تغییر رمز با موفقیت انجام شد
0