MITRE опубликовала список наиболее распространенных уязвимостей в оборудовании

MITRE опубликовала список наиболее распространенных уязвимостей в оборудовании

Список включает 12 опасных и критических уязвимостей, которые приводят к серьезным проблемам в оборудовании.

Некоммерческая организация MITRE и Агентство по кибербезопасности и безопасности инфраструктуры (CISA) США опубликовали на сайте Common Weakness Enumeration (CWE) свежий список наиболее «важных» уязвимостей в аппаратном обеспечении за 2021 год.

Список включает 12 наиболее распространенных и критических уязвимостей, которые приводят к серьезным проблемам в оборудовании. По словам MITRE, список предназначен для повышения осведомленности об общих проблемах и предотвращения появления новых уязвимостей.

  1. CWE-1189 — Некорректная изоляция общих ресурсов на системе на кристалле (Improper Isolation of Shared Resources on System-on-a-Chip);

  2. CWE-1191 — Встроенный интерфейс отладки и тестирования с некорректным контролем доступа (On-Chip Debug and Test Interface With Improper Access Control);

  3. CWE-1231 — Некорректное предотвращение модификации битов блокировки (Improper Prevention of Lock Bit Modification);

  4. CWE-1233 — Чувствительные к безопасности элементы управления оборудованием без защиты от битов блокировки (Security-Sensitive Hardware Controls with Missing Lock Bit Protection);

  5. CWE-1240 — Использование криптографического примитива в опасной реализации (Use of a Cryptographic Primitive with a Risky Implementation);

  6. CWE-1244 — Внутренний ресурс подвержен небезопасному уровню или состоянию доступа отладки (Internal Asset Exposed to Unsafe Debug Access Level or State);

  7. CWE-1256 — Некорректное ограничение программных интерфейсов аппаратными функциями (Improper Restriction of Software Interfaces to Hardware Features);

  8. CWE-1260 — Некорректное обработка перекрытия между защищенными диапазонами памяти (Improper Handling of Overlap Between Protected Memory Ranges);

  9. CWE-1272 — Конфиденциальная информация не очищена перед переходом из состояния отладки/питания (Sensitive Information Uncleared Before Debug/Power State Transition);

  10. CWE-1274 — Некорректный контроль доступа к энергозависимой памяти, содержащей загрузочный код (Improper Access Control for Volatile Memory Containing Boot Code);

  11. CWE-1277 — Прошивка не может быть обновлена (Firmware Not Updateable);

  12. CWE-1300 — Некорректная защита физических сторонних каналов (Improper Protection of Physical Side Channels).

Пять других проблем не вошли в окончательный список, однако специалистам также необходимо обратить на них внимание, сообщили эксперты.

  1. CWE-226 — Конфиденциальная информация в ресурсе не удаляется перед повторным использованием (Sensitive Information in Resource Not Removed Before Reuse);

  2. CWE-1247 — Некорректная защита от напряжения и часов (Improper Protection Against Voltage and Clock Glitches);

  3. CWE-1262 — Некорректный контроль доступа для интрефейса регистров (Improper Access Control for Register Interface);

  4. CWE-1331 — Некорректная изоляция общих ресурсов в сети на кристалле (Improper Isolation of Shared Resources in Network On Chip);

  5. CWE-1332 — Некорректная обработка ошибок, приводящих к пропускам инструкций (Improper Handling of Faults that Lead to Instruction Skips).


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!