اطلاع‌رسانیخبر

انتشار فهرست آسیب‌پذیری‌های سخت‌افزاری خطرناک توسط MITRE

[۱]MITRE فهرستی از خطرناک‌ترین نقص‌های امنیتی که در معماری، طراحی و برنامه‌نویسی سخت‌افزارها در سال ۲۰۲۱ میلادی گزارش شده‌اند را منتشر کرد. این ضعف‌های امنیتی منجر به ایجاد آسیب‌پذیری‌های قابل بهره‌برداری توسط مهاجمان شده و سیستم‌ها را در برابر حملات سایبری آسیب‌پذیر می‌کنند.

فهرست ارایه شده، نتیجه همکاری‌های صورت گرفته بین مؤسسه غیرانتفاعی MITRE با نمایندگان شرکت‌های فعال در حوزه امنیت، پژوهش، طراحی و تولید سخت‌افزار است.

 

فهرست نقاط ضعف سخت‌افزاری

هدف اصلی گزارش مهمترین نقاط ضعف‌ سخت‌افزاری CWE 2021، ایجاد آگاهی نسبت به نقطه ضعف‌های متداول و رایج سخت‌افزاری است. این اقدام می‌تواند با ارایه آموزش‌های اصولی به برنامه‌نویسان و طراحان درباره اشتباهات مهم و حیاتی‌شان در مراحل چرخه حیات توسعه محصولات، به رفع مشکلات امنیتی سخت‌افزارها کمک کند. تحلیلگران امنیتی و کارشناسان آزمون نرم‌افزارها نیز می‌توانند از این فهرست برای ایجاد طرح‌های ارزیابی امنیتی استفاده کنند.

فهرستی که در زیر مشاهده می‌کنید، شامل ۱۰ مورد از مهمترین و نگران‌کننده‌ترین نقاط ضعف امنیتی سخت‌افزارها است:

CWE-1189عدم تفکیک صحیح منابع به اشتراک گذاشته در سیستم، بر روی تراشه
CWE-1191عدم اعمال کنترل دسترسی مناسب برای رابط کاربری عیب‌یابی و تست بر روی تراشه
CWE-1231عدم پیشگیری صحیح و مناسب تغییر بیت قفل
CWE-1233عدم حفاظت از کنترل‌های سخت‌افزاری حساس توسط بیت قفل
CWE-1240استفاده از الگوریتم‌های رمزنگاری ساده و پیاده‌سازی اشتباه و پرخطر
CWE-1244قرار گرفتن تجهیزات متصل به اینترنت در وضعیت اشتباه یا سطح دسترسی عیب‌یابی ناامن
CWE-1256محدودیت‌های نامناسب رابط‌های نرم‌افزاری در برابر امکانات سخت‌افزاری
CWE-1260عدم مدیریت درست همپوشانی بین محدوده‌های حفاظت شده توسط حافظه
CWE-1272عدم پاک‌سازی اطلاعات حساس، قبل از عیب‌یابی و تعمیر
CWE-1274در نظر نگرفتن سازوکار کنترل دسترسی مناسب برای حافظه فرار حاوی کد بوت
CWE-1277عدم امکان به‌روزرسانی میان‌افزار
CWE-1300عدم وجود سازوکارهای حفاظتی مناسب برای کانال‌های جانبی فیزیکی

بنا بر گفته MITRE: «مصرف‌کنندگان سخت‌افزارها می‌توانند از این فهرست برای درخواست محصولاتی امن‌تر از تأمین‌کنندگان استفاده کنند … مدیران و مدیران ارشد فناوری اطلاعات هم می‌توانند از آن به عنوان ابزاری جهت ارزیابی میزان پیشرفت تلاش‌های‌شان برای امن‌سازی سخت‌افزار و تشخیص حوزه‌های مناسب در سرمایه‌گذاری استفاده کرده تا بتوانند فرایندهای خودکارساز یا ابزارهای امنیتی را طراحی و ایجاد کنند که با حذف مشکلات بنیادی، منجر به برطرف کردن طیف وسیعی از آسیب‌پذیری‌ها می‌شوند».

 

[۱] یک پایگاه دانش که شامل رویکردهای هکرها برای اجرای حملات سایبری و راهکارهای خصمانه بوده و در دسترس همگان قرار دارد.

[۲] Common Weakness Enumeration

 

منبع: bleepingcomputer

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

یک − یک =

0
سبد خرید
  • هیچ محصولی در سبدخرید نیست.