MITRE and CISA publish the 2021 list of most common hardware weaknesses
2021/10/30 SecurityAffairs — MITRE と CISA (Cybersecurity and Infrastructure Security Agency) が、2021 Common Weakness Enumeration (CWE) Most Important Hardware Weaknesses リストを発表した。
このリストは、CWE により、一般的なハードウェアの弱点に対する認識を高め、製品開発のライフサイクルの一環として、設計者やプログラマーに対処法を教育することを目的として公開された。このリストには、1.03 から 1.42 のスコア (最高値は 2.0) を持つ、合計で 12件の脆弱性エントリが含まれている。以下は、両組織が共有する脆弱性のリストであり、CWE の識別子順に並んでいる。
| CWE-1189 | Improper Isolation of Shared Resources on System-on-a-Chip (SoC) |
| CWE-1191 | On-Chip Debug and Test Interface With Improper Access Control |
| CWE-1231 | Improper Prevention of Lock Bit Modification |
| CWE-1233 | Security-Sensitive Hardware Controls with Missing Lock Bit Protection |
| CWE-1240 | Use of a Cryptographic Primitive with a Risky Implementation |
| CWE-1244 | Internal Asset Exposed to Unsafe Debug Access Level or State |
| CWE-1256 | Improper Restriction of Software Interfaces to Hardware Features |
| CWE-1260 | Improper Handling of Overlap Between Protected Memory Ranges |
| CWE-1272 | Sensitive Information Uncleared Before Debug/Power State Transition |
| CWE-1274 | Improper Access Control for Volatile Memory Containing Boot Code |
| CWE-1277 | Firmware Not Updateable |
| CWE-1300 | Improper Protection of Physical Side Channels |
また、CIO やセキュリティ管理者は、組織内のハードウェアを保護するための、方式などの効率性を評価するために、このリストを使用することが可能だ。また、「危機に瀕したハードウェアの弱点」に含まれる、リスク管理者が対処すべき5つの弱点についても、専門家がリストアップしている。
| CWE-226 | Sensitive Information in Resource Not Removed Before Reuse |
| CWE-1247 | Improper Protection Against Voltage and Clock Glitches |
| CWE-1262 | Improper Access Control for Register Interface |
| CWE-1331 | Improper Isolation of Shared Resources in Network On Chip (NoC) |
| CWE-1332 | Improper Handling of Faults that Lead to Instruction Skips |
2021 CWE™ Most Important Hardware Weaknesses は、Hardware CWE Special Interest Group (SIG) の協力により作成されたものである。この SIG は、ハードウェアの設計/製造/研究/セキュリティの各分野を代表する、組織/大学/政府機関が参加するコミュニティ・フォーラムである。
セキュリティ・アナリストやテスト・エンジニアは、セキュリティ評価の計画を立てる際に、このリストを利用できる。最終的に、経営者や CIO は、ハードウェアのセキュリティに対する、取り組みの進捗状況を測る尺度としてこのリストを利用できる。根本的な原因を排除することで、幅広い種類の脆弱性を緩和する、セキュリティ・ツールや自動化プロセスを開発するために、リソースを向ける対象を確認できる。
このような、ハードウェアに起因する脆弱性に、CWE が割り当てられる時代へと突入しているのですね。これまでの、一般的な CWE とは、ちょっと異なる表現が並んでいるように思います。なお、文中の「1.03 から 1.42 のスコア (最高値は 2.0) 」の意味は、Miter の 2021 CWE Most Important Hardware Weaknesses に記載されています。
After the voting, the CWE team and SIG members collectively reviewed the findings and applied a scoring method where the buckets were assigned weights of +2, +1, 0, -1, and -2, respectively. For each CWE entry, these weights were multiplied against the percentage of votes in each bucket, with the percentage expressed as a value between 0 and 1. The highest possible score was 2.0 (with 100% of all votes for “Strongly Support”). The entry with the highest score had a score of 1.42.
IoT OT Security News 