Neprofitna organizacija MITRE ove nedjelje je objavila revidiranu listu CWE Most Important Hardware Weaknesses (MIHW), usklađenu sa razvojem bezbjednosnih izazova u oblasti hardvera.
Prvobitno objavljena 2021. godine, CWE MIHW lista obuhvata česte greške koje dovode do kritičnih hardverskih ranjivosti. Cilj joj je da poveća svijest unutar zajednice i pomogne u eliminisanju hardverskih propusta još od faze dizajna.
Ažurirana lista sadrži 11 stavki i donosi nove klase, kategorije i osnovne slabosti, ali i dalje zadržava pet ranijih unosa sa liste iz 2021. Fokus je stavljen na ponovno korišćenje resursa, bagove u debug modu i napade putem ubrizgavanja grešaka.
Na vrhu MITRE-ove 2025. CWE MIHW liste nalazi se ‘CWE-226: Sensitive Information in Resource Not Removed Before Reuse’.
Ova slabost se odnosi na resurse koji se oslobađaju i ponovo koriste bez pravilnog brisanja. Ako, na primjer, memorija nije očišćena prije nego što se učini dostupnom drugom procesu, podaci mogu postati dostupni manje pouzdanim stranama.
„Ova slabost se može primijeniti na hardver, kao kada se uređaj ili sistem prebacuje između stanja napajanja, spavanja ili debug moda tokom normalnog rada, ili kada se izvršavanje mijenja između različitih korisnika ili nivoa privilegija“, navodi se u opisu CWE-226.
Druga na revidiranoj listi je ‘CWE-1189: Improper Isolation of Shared Resources on System-on-a-Chip (SoC)’, koja je 2021. bila na prvom mjestu.
Od ranijih unosa zadržani su i: ‘CWE-1191: On-Chip Debug and Test Interface With Improper Access Control’, ‘CWE-1256: Improper Restriction of Software Interfaces to Hardware Features’, ‘CWE-1260: Improper Handling of Overlap Between Protected Memory Ranges’, i ‘CWE-1300: Improper Protection of Physical Side Channels’.
„Ovi unosi predstavljaju uporne izazove u hardverskoj bezbjednosti, koji su i teorijski značajni i često primijećeni u praksi. Njihovo trajno prisustvo na listi, čak i nakon prelaska na kombinovani ekspertski i podatkovno vođeni proces selekcije, naglašava njihov značaj“, navodi MITRE.
Od šest novih CWE slabosti koje su dodate u revidiranu MIHW listu, dvije su uvedene u bazu nakon objavljivanja liste iz 2021. godine.
Pored 11 glavnih slabosti, MITRE upozorava na još pet koje su takođe veoma važne i mogu dovesti do ozbiljnih bezbjednosnih propusta. Četiri od njih bile su i na prethodnoj verziji liste.
„Hardverske slabosti se šire naviše: kada jednom budu ugrađene u silicijum, one ograničavaju softverske, firmverske i sistemske mitigacije. Inženjeri koji rade na višim slojevima moraju razumjeti da su neki rizici naslijeđeni i da se možda nikada ne mogu u potpunosti otkloniti na njihovom nivou. Zato je presudna transparentnost dobavljača, nezavisni ekosistemi evaluacije i bolji podsticaji za proaktivnu bezbjednost u dizajnu“, izjavila je Liz James, konsultantkinja za bezbjednost u NCC Group.
Izvor: SecurityWeek
