MITRE 和 CISA 发布 2021 年最常见硬件弱点清单

MITRE 和 DHS 的网络安全和基础设施安全局 (CISA) 宣布发布“2021 年常见弱点枚举 (CWE) 最重要的硬件弱点”列表。

发布该列表的目的是通过 CWE 提高对常见硬件弱点的认识，并教育设计师和程序员如何在产品开发生命周期中解决这些弱点。 

该列表共包含 12 个漏洞条目，得分从 1.03 到 1.42（最高可能得分为 2.0）。

以下是按 CWE 标识符排序的两个组织共享的弱点列表：

CWE-1189片上系统 (SoC) 上共享资源的不当隔离

CWE-1191具有不当访问控制的片上调试和测试接口

CWE-1231锁位修改不当预防

CWE-1233具有丢失锁定位保护的安全敏感硬件控制

CWE-1240使用具有风险实施的加密原语

CWE-1244暴露于不安全调试访问级别或状态的内部资产

CWE-1256软件接口对硬件功能的不当限制

CWE-1260受保护内存范围之间重叠处理不当

CWE-1272调试/电源状态转换前未清除的敏感信息

CWE-1274对包含引导代码的易失性内存的不当访问控制

CWE-1277固件不可更新

CWE-1300物理侧信道保护不当

CIO 和安全经理还可以使用该列表来评估其计划的效率，以保护其组织内的硬件。

专家们还分享了一份额外的五个弱点清单，这些弱点包括在风口浪尖上的硬件弱点中，应该由风险管理人员解决。

CWE-226重用前未删除资源中的敏感信息

CWE-1247针对电压和时钟毛刺的不当保护

CWE-1262寄存器接口访问控制不当

CWE-1331片上网络 (NoC) 中共享资源的不当隔离

CWE-1332错误处理导致指令跳过

“ 2021 CWE™ 最重要的硬件弱点是同类中的第一个，也是硬件 CWE 特别兴趣小组 (SIG)内部合作的结果，  SIG是代表硬件设计、制造、研究和安全领域的组织的个人社区论坛，以及学术界和政府。” 阅读公告。

“安全分析师和测试工程师可以使用该列表来准备安全测试和评估计划。硬件消费者可以使用该列表来帮助他们向供应商索取更安全的硬件产品。最后，管理人员和 CIO 可以使用该列表作为衡量其硬件安全工作进度的衡量标准，并确定将资源分配到何处来开发安全工具或自动化流程，通过消除潜在的根本原因来缓解各种漏洞。”