MITRE公司近日發(fā)布了其維護的CWE硬件漏洞2021年度排行，上榜的12個硬件漏洞是其組織的專家團隊按照其自研的方法體系進行定性和定量評分選出來的。這是硬件漏洞是同類排行中的第一個，也是硬件CWE 特別興趣小組（SIG）內(nèi)部合作努力的結(jié)果，SIG是作為學術(shù)界和政府代表硬件設(shè)計、制造、研究和安全領(lǐng)域的組織的個人社區(qū)論壇。

　　背景介紹

　　2021硬件漏洞排行的目標是通過CWE提高對常見硬件漏洞的認識，并通過教育設(shè)計人員和程序員如何在產(chǎn)品開發(fā)生命周期的早期消除重要錯誤，從源頭上防止硬件安全問題。安全分析師和測試工程師可以使用該列表來準備安全測試和評估計劃。硬件消費者可以使用該列表來幫助他們向供應(yīng)商索取更安全的硬件產(chǎn)品。最后，管理人員和CIO可以使用該列表作為衡量其硬件安全工作進度的標準，并確定將資源分配到何處來開發(fā)安全工具或自動化流程，通過消除潛在的根本原因來緩解各種漏洞。

　　MITRE在美國國土安全部網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 （CISA） 的支持下維護CWE網(wǎng)站，提供2021硬件漏洞的詳細描述以及減輕和避免這些漏洞的權(quán)威指南。CWE網(wǎng)站上包含有關(guān)900多個可能導致可利用漏洞的編程、設(shè)計和架構(gòu)漏洞的數(shù)據(jù)。MITRE還每年發(fā)布CWE前25名最危險的軟件弱點。

　　2021年CWE最重要的硬件漏洞排行結(jié)果

　　以下是按CWE標識符按數(shù)字順序列出的2021年CWE最重要硬件漏洞中的簡要列表。這是一個沒有順序的列表。

　　CWE-1189

　　片上系統(tǒng) （SoC） 上共享資源的不當隔離

　　CWE-1191

　　具有不當訪問控制的片上調(diào)試和測試接口

　　CWE-1231

　　鎖定位修改不當預(yù)防

　　CWE-1233

　　具有丟失鎖定位保護的安全敏感硬件控制

　　CWE-1240

　　使用具有風險實施的加密原語

　　CWE-1244

　　暴露于不安全調(diào)試訪問級別或狀態(tài)的內(nèi)部資產(chǎn)

　　CWE-1256

　　軟件接口對硬件功能的不當限制

　　CWE-1260

　　受保護內(nèi)存范圍之間重疊處理不當

　　CWE-1272

　　調(diào)試/電源狀態(tài)轉(zhuǎn)換前未清除的敏感信息

　　CWE-1274

　　對包含引導代碼的易失性內(nèi)存的不當訪問控制

　　CWE-1277

　　固件不可更新

　　CWE-1300

　　物理側(cè)信道保護不當

　　回到頂部

　　排行榜采用的評估方法

　　開始確定硬件“Top-N”列表的初步調(diào)查工作是由SIG成員完成的，他們每個人都從CWE 語料庫的96個硬件條目中選擇了一組優(yōu)先的10個漏洞。此過程共確定了31個唯一條目。HW CWE 團隊還提供了一組問題供參與者在思考過程中進行權(quán)衡，包括適用于流行度和檢測指標、緩解指標、可利用性指標和其他雜項指標的問題。從最初的27個問題中，SIG成員確定了9個問題，這些問題在他們考慮對名單進行投票時特別重要，具體是：

　　1.這種漏洞在部署后多久被檢測到？

　　2.該漏洞是否需要修改硬件來緩解它？

　　3.在設(shè)計過程中檢測到這種漏洞的頻率如何？

　　4.在測試期間檢測到此漏洞的頻率如何？

　　5.一旦設(shè)備投入使用，這個漏洞能否得到緩解？

　　6.是否需要物理訪問才能利用此漏洞？

　　7.利用此漏洞的攻擊能否完全通過軟件進行？

　　8.針對此漏洞的單一漏洞利用是否適用于范圍廣泛（或系列）的設(shè)備？

　　9.采用哪些方法來識別和預(yù)防已知漏洞和新漏洞？

　　在對初步調(diào)查期間確定的31個漏洞進行評估時，SIG確定已發(fā)布的“Top-N”列表的理想數(shù)量應(yīng)約為硬件CWE條目總數(shù)的10%——大約10個。因此，SIG召開會議以保持2021年9月舉行了一次正式投票會議，以提煉之前選定的31個條目。使用卡片分類平臺和李克特量表方法，每個SIG成員都有機會將31個條目轉(zhuǎn)移到各種優(yōu)先級“桶”中（通過拖動和降低）。有五個桶：

　　強烈支持——（用于列入前 N）

　　有點支持

　　沒有意見

　　有點反對

　　強烈反對

　　投票結(jié)束后，CWE團隊和SIG成員共同審查了調(diào)查結(jié)果并應(yīng)用了一種評分方法，其中為桶分配了 +2、+1、0、-1 和 -2 的權(quán)重。對于每個CWE條目，這些權(quán)重與每個桶中的投票百分比相乘，百分比表示為0到1之間的值。最高可能得分為2.0（100% 的票數(shù)為“強烈支持”）。得分最高的條目的得分為1.42。這導致了之前選擇的31個硬件CWE的排名順序，在最高12項和最高17項之后的得分有明確的劃分。最高的12個條目的分數(shù)從1.03到1.42，接下來的5個條目的得分范圍為0.91到0.97。次高分是0.80。這些條目成為2021年CWE最重要的硬件漏洞列表和TOP硬件弱點。雖然研究團隊的方法對這 12（+5）個條目進行了排名，但HW CWE團隊和SIG認為將列表視為一個層級的漏洞，按重要性排序的集合是不切實際的。根據(jù)該方法，這些條目應(yīng)該被認為是一組基本相同的硬件漏洞問題。

　　有了這些標準，CWE最重要的硬件漏洞的未來版本將演變?yōu)楹w不同的漏洞。研究團隊的目標是為社區(qū)提供最有用的列表。方法的局限性如下所述。

　　回到頂部

　　另外五個需要關(guān)注的漏洞

　　與CWE前25名最危險的軟件弱點類似，CWE團隊認為分享這五個額外的硬件弱點很重要，這些弱點得到了硬件CWE SIG的支持，但最終得分在2021年CWE最重要的硬件漏洞之外列表。

　　使用2021年CWE硬件列表執(zhí)行緩解和風險決策的個人可能需要考慮在他們的分析中覆蓋到這幾個漏洞。Cusp上的漏洞按CWE-ID的數(shù)字順序列出。

　　CWE-226

　　重用前未刪除資源中的敏感信息

　　CWE-1247

　　針對電壓和時鐘毛刺的不當保護

　　CWE-1262

　　寄存器接口訪問控制不當

　　CWE-1331

　　片上網(wǎng)絡(luò) （NoC） 中共享資源的不當隔離

　　CWE-1332

　　錯誤處理導致指令跳過

　　回到頂部

　　漏洞排行評估方法的局限性

　　用于生成首個CWE最重要硬件漏洞列表的方法在科學和統(tǒng)計嚴謹性方面有其局限性。在缺乏更多相關(guān)數(shù)據(jù)進行系統(tǒng)查詢的情況下，該列表是使用改進的德爾菲法利用主觀意見編制的，盡管來自知情的內(nèi)容知識專家。

　　軟件CWE Top-25利用NIST國家漏洞數(shù)據(jù)庫（NVD）中的CVE? 數(shù)據(jù)，采用數(shù)據(jù)驅(qū)動的方法，考慮漏洞類型頻率和嚴重性。這在硬件領(lǐng)域是不可能的，主要是因為HW CWE與 CVE的關(guān)聯(lián)有限，因為HW CWE還處于起步階段。最近，CVE程序一直致力于發(fā)布硬件漏洞的CVE記錄。雖然發(fā)布后硬件漏洞的頻率遠低于軟件，但隨著越來越多的硬件漏洞數(shù)據(jù)可用，CWE硬件列表方法可能會發(fā)生變化。