MITRE公司近日發(fā)布了其維護(hù)的CWE硬件漏洞2021年度排行，上榜的12個(gè)硬件漏洞是其組織的專家團(tuán)隊(duì)按照其自研的方法體系進(jìn)行定性和定量評(píng)分選出來(lái)的。這是硬件漏洞是同類排行中的第一個(gè)，也是硬件CWE 特別興趣小組（SIG）內(nèi)部合作努力的結(jié)果，SIG是作為學(xué)術(shù)界和政府代表硬件設(shè)計(jì)、制造、研究和安全領(lǐng)域的組織的個(gè)人社區(qū)論壇。

　　背景介紹

　　2021硬件漏洞排行的目標(biāo)是通過(guò)CWE提高對(duì)常見(jiàn)硬件漏洞的認(rèn)識(shí)，并通過(guò)教育設(shè)計(jì)人員和程序員如何在產(chǎn)品開(kāi)發(fā)生命周期的早期消除重要錯(cuò)誤，從源頭上防止硬件安全問(wèn)題。安全分析師和測(cè)試工程師可以使用該列表來(lái)準(zhǔn)備安全測(cè)試和評(píng)估計(jì)劃。硬件消費(fèi)者可以使用該列表來(lái)幫助他們向供應(yīng)商索取更安全的硬件產(chǎn)品。最后，管理人員和CIO可以使用該列表作為衡量其硬件安全工作進(jìn)度的標(biāo)準(zhǔn)，并確定將資源分配到何處來(lái)開(kāi)發(fā)安全工具或自動(dòng)化流程，通過(guò)消除潛在的根本原因來(lái)緩解各種漏洞。

　　MITRE在美國(guó)國(guó)土安全部網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 （CISA） 的支持下維護(hù)CWE網(wǎng)站，提供2021硬件漏洞的詳細(xì)描述以及減輕和避免這些漏洞的權(quán)威指南。CWE網(wǎng)站上包含有關(guān)900多個(gè)可能導(dǎo)致可利用漏洞的編程、設(shè)計(jì)和架構(gòu)漏洞的數(shù)據(jù)。MITRE還每年發(fā)布CWE前25名最危險(xiǎn)的軟件弱點(diǎn)。

　　2021年CWE最重要的硬件漏洞排行結(jié)果

　　以下是按CWE標(biāo)識(shí)符按數(shù)字順序列出的2021年CWE最重要硬件漏洞中的簡(jiǎn)要列表。這是一個(gè)沒(méi)有順序的列表。

　　CWE-1189

　　片上系統(tǒng) （SoC） 上共享資源的不當(dāng)隔離

　　CWE-1191

　　具有不當(dāng)訪問(wèn)控制的片上調(diào)試和測(cè)試接口

　　CWE-1231

　　鎖定位修改不當(dāng)預(yù)防

　　CWE-1233

　　具有丟失鎖定位保護(hù)的安全敏感硬件控制

　　CWE-1240

　　使用具有風(fēng)險(xiǎn)實(shí)施的加密原語(yǔ)

　　CWE-1244

　　暴露于不安全調(diào)試訪問(wèn)級(jí)別或狀態(tài)的內(nèi)部資產(chǎn)

　　CWE-1256

　　軟件接口對(duì)硬件功能的不當(dāng)限制

　　CWE-1260

　　受保護(hù)內(nèi)存范圍之間重疊處理不當(dāng)

　　CWE-1272

　　調(diào)試/電源狀態(tài)轉(zhuǎn)換前未清除的敏感信息

　　CWE-1274

　　對(duì)包含引導(dǎo)代碼的易失性內(nèi)存的不當(dāng)訪問(wèn)控制

　　CWE-1277

　　固件不可更新

　　CWE-1300

　　物理側(cè)信道保護(hù)不當(dāng)

　　回到頂部

　　排行榜采用的評(píng)估方法

　　開(kāi)始確定硬件“Top-N”列表的初步調(diào)查工作是由SIG成員完成的，他們每個(gè)人都從CWE 語(yǔ)料庫(kù)的96個(gè)硬件條目中選擇了一組優(yōu)先的10個(gè)漏洞。此過(guò)程共確定了31個(gè)唯一條目。HW CWE 團(tuán)隊(duì)還提供了一組問(wèn)題供參與者在思考過(guò)程中進(jìn)行權(quán)衡，包括適用于流行度和檢測(cè)指標(biāo)、緩解指標(biāo)、可利用性指標(biāo)和其他雜項(xiàng)指標(biāo)的問(wèn)題。從最初的27個(gè)問(wèn)題中，SIG成員確定了9個(gè)問(wèn)題，這些問(wèn)題在他們考慮對(duì)名單進(jìn)行投票時(shí)特別重要，具體是：

　　1.這種漏洞在部署后多久被檢測(cè)到？

　　2.該漏洞是否需要修改硬件來(lái)緩解它？

　　3.在設(shè)計(jì)過(guò)程中檢測(cè)到這種漏洞的頻率如何？

　　4.在測(cè)試期間檢測(cè)到此漏洞的頻率如何？

　　5.一旦設(shè)備投入使用，這個(gè)漏洞能否得到緩解？

　　6.是否需要物理訪問(wèn)才能利用此漏洞？

　　7.利用此漏洞的攻擊能否完全通過(guò)軟件進(jìn)行？

　　8.針對(duì)此漏洞的單一漏洞利用是否適用于范圍廣泛（或系列）的設(shè)備？

　　9.采用哪些方法來(lái)識(shí)別和預(yù)防已知漏洞和新漏洞？

　　在對(duì)初步調(diào)查期間確定的31個(gè)漏洞進(jìn)行評(píng)估時(shí)，SIG確定已發(fā)布的“Top-N”列表的理想數(shù)量應(yīng)約為硬件CWE條目總數(shù)的10%——大約10個(gè)。因此，SIG召開(kāi)會(huì)議以保持2021年9月舉行了一次正式投票會(huì)議，以提煉之前選定的31個(gè)條目。使用卡片分類平臺(tái)和李克特量表方法，每個(gè)SIG成員都有機(jī)會(huì)將31個(gè)條目轉(zhuǎn)移到各種優(yōu)先級(jí)“桶”中（通過(guò)拖動(dòng)和降低）。有五個(gè)桶：

　　強(qiáng)烈支持——（用于列入前 N）

　　有點(diǎn)支持

　　沒(méi)有意見(jiàn)

　　有點(diǎn)反對(duì)

　　強(qiáng)烈反對(duì)

　　投票結(jié)束后，CWE團(tuán)隊(duì)和SIG成員共同審查了調(diào)查結(jié)果并應(yīng)用了一種評(píng)分方法，其中為桶分配了 +2、+1、0、-1 和 -2 的權(quán)重。對(duì)于每個(gè)CWE條目，這些權(quán)重與每個(gè)桶中的投票百分比相乘，百分比表示為0到1之間的值。最高可能得分為2.0（100% 的票數(shù)為“強(qiáng)烈支持”）。得分最高的條目的得分為1.42。這導(dǎo)致了之前選擇的31個(gè)硬件CWE的排名順序，在最高12項(xiàng)和最高17項(xiàng)之后的得分有明確的劃分。最高的12個(gè)條目的分?jǐn)?shù)從1.03到1.42，接下來(lái)的5個(gè)條目的得分范圍為0.91到0.97。次高分是0.80。這些條目成為2021年CWE最重要的硬件漏洞列表和TOP硬件弱點(diǎn)。雖然研究團(tuán)隊(duì)的方法對(duì)這 12（+5）個(gè)條目進(jìn)行了排名，但HW CWE團(tuán)隊(duì)和SIG認(rèn)為將列表視為一個(gè)層級(jí)的漏洞，按重要性排序的集合是不切實(shí)際的。根據(jù)該方法，這些條目應(yīng)該被認(rèn)為是一組基本相同的硬件漏洞問(wèn)題。

　　有了這些標(biāo)準(zhǔn)，CWE最重要的硬件漏洞的未來(lái)版本將演變?yōu)楹w不同的漏洞。研究團(tuán)隊(duì)的目標(biāo)是為社區(qū)提供最有用的列表。方法的局限性如下所述。

　　回到頂部

　　另外五個(gè)需要關(guān)注的漏洞

　　與CWE前25名最危險(xiǎn)的軟件弱點(diǎn)類似，CWE團(tuán)隊(duì)認(rèn)為分享這五個(gè)額外的硬件弱點(diǎn)很重要，這些弱點(diǎn)得到了硬件CWE SIG的支持，但最終得分在2021年CWE最重要的硬件漏洞之外列表。

　　使用2021年CWE硬件列表執(zhí)行緩解和風(fēng)險(xiǎn)決策的個(gè)人可能需要考慮在他們的分析中覆蓋到這幾個(gè)漏洞。Cusp上的漏洞按CWE-ID的數(shù)字順序列出。

　　CWE-226

　　重用前未刪除資源中的敏感信息

　　CWE-1247

　　針對(duì)電壓和時(shí)鐘毛刺的不當(dāng)保護(hù)

　　CWE-1262

　　寄存器接口訪問(wèn)控制不當(dāng)

　　CWE-1331

　　片上網(wǎng)絡(luò) （NoC） 中共享資源的不當(dāng)隔離

　　CWE-1332

　　錯(cuò)誤處理導(dǎo)致指令跳過(guò)

　　回到頂部

　　漏洞排行評(píng)估方法的局限性

　　用于生成首個(gè)CWE最重要硬件漏洞列表的方法在科學(xué)和統(tǒng)計(jì)嚴(yán)謹(jǐn)性方面有其局限性。在缺乏更多相關(guān)數(shù)據(jù)進(jìn)行系統(tǒng)查詢的情況下，該列表是使用改進(jìn)的德?tīng)柗品ɡ弥饔^意見(jiàn)編制的，盡管來(lái)自知情的內(nèi)容知識(shí)專家。

　　軟件CWE Top-25利用NIST國(guó)家漏洞數(shù)據(jù)庫(kù)（NVD）中的CVE? 數(shù)據(jù)，采用數(shù)據(jù)驅(qū)動(dòng)的方法，考慮漏洞類型頻率和嚴(yán)重性。這在硬件領(lǐng)域是不可能的，主要是因?yàn)镠W CWE與 CVE的關(guān)聯(lián)有限，因?yàn)镠W CWE還處于起步階段。最近，CVE程序一直致力于發(fā)布硬件漏洞的CVE記錄。雖然發(fā)布后硬件漏洞的頻率遠(yuǎn)低于軟件，但隨著越來(lái)越多的硬件漏洞數(shù)據(jù)可用，CWE硬件列表方法可能會(huì)發(fā)生變化。