MITRE公司近日發(fā)布了其維護(hù)的CWE硬件漏洞2021年度排行，上榜的12個硬件漏洞是其組織的專家團(tuán)隊(duì)按照其自研的方法體系進(jìn)行定性和定量評分選出來的。這是硬件漏洞是同類排行中的第一個，也是硬件CWE 特別興趣小組（SIG）內(nèi)部合作努力的結(jié)果，SIG是作為學(xué)術(shù)界和政府代表硬件設(shè)計(jì)、制造、研究和安全領(lǐng)域的組織的個人社區(qū)論壇。

　　背景介紹

　　2021硬件漏洞排行的目標(biāo)是通過CWE提高對常見硬件漏洞的認(rèn)識，并通過教育設(shè)計(jì)人員和程序員如何在產(chǎn)品開發(fā)生命周期的早期消除重要錯誤，從源頭上防止硬件安全問題。安全分析師和測試工程師可以使用該列表來準(zhǔn)備安全測試和評估計(jì)劃。硬件消費(fèi)者可以使用該列表來幫助他們向供應(yīng)商索取更安全的硬件產(chǎn)品。最后，管理人員和CIO可以使用該列表作為衡量其硬件安全工作進(jìn)度的標(biāo)準(zhǔn)，并確定將資源分配到何處來開發(fā)安全工具或自動化流程，通過消除潛在的根本原因來緩解各種漏洞。

　　MITRE在美國國土安全部網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 （CISA） 的支持下維護(hù)CWE網(wǎng)站，提供2021硬件漏洞的詳細(xì)描述以及減輕和避免這些漏洞的權(quán)威指南。CWE網(wǎng)站上包含有關(guān)900多個可能導(dǎo)致可利用漏洞的編程、設(shè)計(jì)和架構(gòu)漏洞的數(shù)據(jù)。MITRE還每年發(fā)布CWE前25名最危險(xiǎn)的軟件弱點(diǎn)。

　　2021年CWE最重要的硬件漏洞排行結(jié)果

　　以下是按CWE標(biāo)識符按數(shù)字順序列出的2021年CWE最重要硬件漏洞中的簡要列表。這是一個沒有順序的列表。

　　CWE-1189

　　片上系統(tǒng) （SoC） 上共享資源的不當(dāng)隔離

　　CWE-1191

　　具有不當(dāng)訪問控制的片上調(diào)試和測試接口

　　CWE-1231

　　鎖定位修改不當(dāng)預(yù)防

　　CWE-1233

　　具有丟失鎖定位保護(hù)的安全敏感硬件控制

　　CWE-1240

　　使用具有風(fēng)險(xiǎn)實(shí)施的加密原語

　　CWE-1244

　　暴露于不安全調(diào)試訪問級別或狀態(tài)的內(nèi)部資產(chǎn)

　　CWE-1256

　　軟件接口對硬件功能的不當(dāng)限制

　　CWE-1260

　　受保護(hù)內(nèi)存范圍之間重疊處理不當(dāng)

　　CWE-1272

　　調(diào)試/電源狀態(tài)轉(zhuǎn)換前未清除的敏感信息

　　CWE-1274

　　對包含引導(dǎo)代碼的易失性內(nèi)存的不當(dāng)訪問控制

　　CWE-1277

　　固件不可更新

　　CWE-1300

　　物理側(cè)信道保護(hù)不當(dāng)

　　回到頂部

　　排行榜采用的評估方法

　　開始確定硬件“Top-N”列表的初步調(diào)查工作是由SIG成員完成的，他們每個人都從CWE 語料庫的96個硬件條目中選擇了一組優(yōu)先的10個漏洞。此過程共確定了31個唯一條目。HW CWE 團(tuán)隊(duì)還提供了一組問題供參與者在思考過程中進(jìn)行權(quán)衡，包括適用于流行度和檢測指標(biāo)、緩解指標(biāo)、可利用性指標(biāo)和其他雜項(xiàng)指標(biāo)的問題。從最初的27個問題中，SIG成員確定了9個問題，這些問題在他們考慮對名單進(jìn)行投票時(shí)特別重要，具體是：

　　1.這種漏洞在部署后多久被檢測到？

　　2.該漏洞是否需要修改硬件來緩解它？

　　3.在設(shè)計(jì)過程中檢測到這種漏洞的頻率如何？

　　4.在測試期間檢測到此漏洞的頻率如何？

　　5.一旦設(shè)備投入使用，這個漏洞能否得到緩解？

　　6.是否需要物理訪問才能利用此漏洞？

　　7.利用此漏洞的攻擊能否完全通過軟件進(jìn)行？

　　8.針對此漏洞的單一漏洞利用是否適用于范圍廣泛（或系列）的設(shè)備？

　　9.采用哪些方法來識別和預(yù)防已知漏洞和新漏洞？

　　在對初步調(diào)查期間確定的31個漏洞進(jìn)行評估時(shí)，SIG確定已發(fā)布的“Top-N”列表的理想數(shù)量應(yīng)約為硬件CWE條目總數(shù)的10%——大約10個。因此，SIG召開會議以保持2021年9月舉行了一次正式投票會議，以提煉之前選定的31個條目。使用卡片分類平臺和李克特量表方法，每個SIG成員都有機(jī)會將31個條目轉(zhuǎn)移到各種優(yōu)先級“桶”中（通過拖動和降低）。有五個桶：

　　強(qiáng)烈支持——（用于列入前 N）

　　有點(diǎn)支持

　　沒有意見

　　有點(diǎn)反對

　　強(qiáng)烈反對

　　投票結(jié)束后，CWE團(tuán)隊(duì)和SIG成員共同審查了調(diào)查結(jié)果并應(yīng)用了一種評分方法，其中為桶分配了 +2、+1、0、-1 和 -2 的權(quán)重。對于每個CWE條目，這些權(quán)重與每個桶中的投票百分比相乘，百分比表示為0到1之間的值。最高可能得分為2.0（100% 的票數(shù)為“強(qiáng)烈支持”）。得分最高的條目的得分為1.42。這導(dǎo)致了之前選擇的31個硬件CWE的排名順序，在最高12項(xiàng)和最高17項(xiàng)之后的得分有明確的劃分。最高的12個條目的分?jǐn)?shù)從1.03到1.42，接下來的5個條目的得分范圍為0.91到0.97。次高分是0.80。這些條目成為2021年CWE最重要的硬件漏洞列表和TOP硬件弱點(diǎn)。雖然研究團(tuán)隊(duì)的方法對這 12（+5）個條目進(jìn)行了排名，但HW CWE團(tuán)隊(duì)和SIG認(rèn)為將列表視為一個層級的漏洞，按重要性排序的集合是不切實(shí)際的。根據(jù)該方法，這些條目應(yīng)該被認(rèn)為是一組基本相同的硬件漏洞問題。

　　有了這些標(biāo)準(zhǔn)，CWE最重要的硬件漏洞的未來版本將演變?yōu)楹w不同的漏洞。研究團(tuán)隊(duì)的目標(biāo)是為社區(qū)提供最有用的列表。方法的局限性如下所述。

　　回到頂部

　　另外五個需要關(guān)注的漏洞

　　與CWE前25名最危險(xiǎn)的軟件弱點(diǎn)類似，CWE團(tuán)隊(duì)認(rèn)為分享這五個額外的硬件弱點(diǎn)很重要，這些弱點(diǎn)得到了硬件CWE SIG的支持，但最終得分在2021年CWE最重要的硬件漏洞之外列表。

　　使用2021年CWE硬件列表執(zhí)行緩解和風(fēng)險(xiǎn)決策的個人可能需要考慮在他們的分析中覆蓋到這幾個漏洞。Cusp上的漏洞按CWE-ID的數(shù)字順序列出。

　　CWE-226

　　重用前未刪除資源中的敏感信息

　　CWE-1247

　　針對電壓和時(shí)鐘毛刺的不當(dāng)保護(hù)

　　CWE-1262

　　寄存器接口訪問控制不當(dāng)

　　CWE-1331

　　片上網(wǎng)絡(luò) （NoC） 中共享資源的不當(dāng)隔離

　　CWE-1332

　　錯誤處理導(dǎo)致指令跳過

　　回到頂部

　　漏洞排行評估方法的局限性

　　用于生成首個CWE最重要硬件漏洞列表的方法在科學(xué)和統(tǒng)計(jì)嚴(yán)謹(jǐn)性方面有其局限性。在缺乏更多相關(guān)數(shù)據(jù)進(jìn)行系統(tǒng)查詢的情況下，該列表是使用改進(jìn)的德爾菲法利用主觀意見編制的，盡管來自知情的內(nèi)容知識專家。

　　軟件CWE Top-25利用NIST國家漏洞數(shù)據(jù)庫（NVD）中的CVE? 數(shù)據(jù)，采用數(shù)據(jù)驅(qū)動的方法，考慮漏洞類型頻率和嚴(yán)重性。這在硬件領(lǐng)域是不可能的，主要是因?yàn)镠W CWE與 CVE的關(guān)聯(lián)有限，因?yàn)镠W CWE還處于起步階段。最近，CVE程序一直致力于發(fā)布硬件漏洞的CVE記錄。雖然發(fā)布后硬件漏洞的頻率遠(yuǎn)低于軟件，但隨著越來越多的硬件漏洞數(shù)據(jù)可用，CWE硬件列表方法可能會發(fā)生變化。