Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

MITRE опубликовала список наиболее распространенных уязвимостей в оборудовании

02/11/21

hack59-Nov-02-2021-08-24-19-05-AMНекоммерческая организация MITRE и Агентство по кибербезопасности и безопасности инфраструктуры (CISA) США опубликовали на сайте Common Weakness Enumeration (CWE) свежий список наиболее «важных» уязвимостей в аппаратном обеспечении за 2021 год.

Список включает 12 наиболее распространенных и критических уязвимостей, которые приводят к серьезным проблемам в оборудовании. По словам MITRE, список предназначен для повышения осведомленности об общих проблемах и предотвращения появления новых уязвимостей.

  1. CWE-1189 — Некорректная изоляция общих ресурсов на системе на кристалле (Improper Isolation of Shared Resources on System-on-a-Chip);
  2. CWE-1191 — Встроенный интерфейс отладки и тестирования с некорректным контролем доступа (On-Chip Debug and Test Interface With Improper Access Control);
  3. CWE-1231 — Некорректное предотвращение модификации битов блокировки (Improper Prevention of Lock Bit Modification);
  4. CWE-1233 — Чувствительные к безопасности элементы управления оборудованием без защиты от битов блокировки (Security-Sensitive Hardware Controls with Missing Lock Bit Protection);
  5. CWE-1240 — Использование криптографического примитива в опасной реализации (Use of a Cryptographic Primitive with a Risky Implementation);
  6. CWE-1244 — Внутренний ресурс подвержен небезопасному уровню или состоянию доступа отладки (Internal Asset Exposed to Unsafe Debug Access Level or State);
  7. CWE-1256 — Некорректное ограничение программных интерфейсов аппаратными функциями (Improper Restriction of Software Interfaces to Hardware Features);
  8. CWE-1260 — Некорректное обработка перекрытия между защищенными диапазонами памяти (Improper Handling of Overlap Between Protected Memory Ranges);
  9. CWE-1272 — Конфиденциальная информация не очищена перед переходом из состояния отладки/питания (Sensitive Information Uncleared Before Debug/Power State Transition);
  10. CWE-1274 — Некорректный контроль доступа к энергозависимой памяти, содержащей загрузочный код (Improper Access Control for Volatile Memory Containing Boot Code);
  11. CWE-1277 — Прошивка не может быть обновлена (Firmware Not Updateable);
  12. CWE-1300 — Некорректная защита физических сторонних каналов (Improper Protection of Physical Side Channels).

Пять других проблем не вошли в окончательный список, однако специалистам также необходимо обратить на них внимание, сообщили эксперты.

  1. CWE-226 — Конфиденциальная информация в ресурсе не удаляется перед повторным использованием (Sensitive Information in Resource Not Removed Before Reuse);
  2. CWE-1247 — Некорректная защита от напряжения и часов (Improper Protection Against Voltage and Clock Glitches);
  3. CWE-1262 — Некорректный контроль доступа для интрефейса регистров (Improper Access Control for Register Interface);
  4. CWE-1331 — Некорректная изоляция общих ресурсов в сети на кристалле (Improper Isolation of Shared Resources in Network On Chip);
  5. CWE-1332 — Некорректная обработка ошибок, приводящих к пропускам инструкций (Improper Handling of Faults that Lead to Instruction Skips).
Темы:ИсследованиеУгрозыMITRE
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...