MITRE公司近日發布了其維護的CWE硬件漏洞2021年度排行，上榜的12個硬件漏洞是其組織的專家團隊按照其自研的方法體系進行定性和定量評分選出來的。這是硬件漏洞是同類排行中的第一個，也是硬件CWE 特別興趣小組（SIG）內部合作努力的結果，SIG是作為學術界和政府代表硬件設計、制造、研究和安全領域的組織的個人社區論壇。

　　背景介紹

　　2021硬件漏洞排行的目標是通過CWE提高對常見硬件漏洞的認識，并通過教育設計人員和程序員如何在產品開發生命周期的早期消除重要錯誤，從源頭上防止硬件安全問題。安全分析師和測試工程師可以使用該列表來準備安全測試和評估計劃。硬件消費者可以使用該列表來幫助他們向供應商索取更安全的硬件產品。最后，管理人員和CIO可以使用該列表作為衡量其硬件安全工作進度的標準，并確定將資源分配到何處來開發安全工具或自動化流程，通過消除潛在的根本原因來緩解各種漏洞。

　　MITRE在美國國土安全部網絡安全和基礎設施安全局 （CISA） 的支持下維護CWE網站，提供2021硬件漏洞的詳細描述以及減輕和避免這些漏洞的權威指南。CWE網站上包含有關900多個可能導致可利用漏洞的編程、設計和架構漏洞的數據。MITRE還每年發布CWE前25名最危險的軟件弱點。

　　2021年CWE最重要的硬件漏洞排行結果

　　以下是按CWE標識符按數字順序列出的2021年CWE最重要硬件漏洞中的簡要列表。這是一個沒有順序的列表。

　　CWE-1189

　　片上系統 （SoC） 上共享資源的不當隔離

　　CWE-1191

　　具有不當訪問控制的片上調試和測試接口

　　CWE-1231

　　鎖定位修改不當預防

　　CWE-1233

　　具有丟失鎖定位保護的安全敏感硬件控制

　　CWE-1240

　　使用具有風險實施的加密原語

　　CWE-1244

　　暴露于不安全調試訪問級別或狀態的內部資產

　　CWE-1256

　　軟件接口對硬件功能的不當限制

　　CWE-1260

　　受保護內存范圍之間重疊處理不當

　　CWE-1272

　　調試/電源狀態轉換前未清除的敏感信息

　　CWE-1274

　　對包含引導代碼的易失性內存的不當訪問控制

　　CWE-1277

　　固件不可更新

　　CWE-1300

　　物理側信道保護不當

　　回到頂部

　　排行榜采用的評估方法

　　開始確定硬件“Top-N”列表的初步調查工作是由SIG成員完成的，他們每個人都從CWE 語料庫的96個硬件條目中選擇了一組優先的10個漏洞。此過程共確定了31個唯一條目。HW CWE 團隊還提供了一組問題供參與者在思考過程中進行權衡，包括適用于流行度和檢測指標、緩解指標、可利用性指標和其他雜項指標的問題。從最初的27個問題中，SIG成員確定了9個問題，這些問題在他們考慮對名單進行投票時特別重要，具體是：

　　1.這種漏洞在部署后多久被檢測到？

　　2.該漏洞是否需要修改硬件來緩解它？

　　3.在設計過程中檢測到這種漏洞的頻率如何？

　　4.在測試期間檢測到此漏洞的頻率如何？

　　5.一旦設備投入使用，這個漏洞能否得到緩解？

　　6.是否需要物理訪問才能利用此漏洞？

　　7.利用此漏洞的攻擊能否完全通過軟件進行？

　　8.針對此漏洞的單一漏洞利用是否適用于范圍廣泛（或系列）的設備？

　　9.采用哪些方法來識別和預防已知漏洞和新漏洞？

　　在對初步調查期間確定的31個漏洞進行評估時，SIG確定已發布的“Top-N”列表的理想數量應約為硬件CWE條目總數的10%——大約10個。因此，SIG召開會議以保持2021年9月舉行了一次正式投票會議，以提煉之前選定的31個條目。使用卡片分類平臺和李克特量表方法，每個SIG成員都有機會將31個條目轉移到各種優先級“桶”中（通過拖動和降低）。有五個桶：

　　強烈支持——（用于列入前 N）

　　有點支持

　　沒有意見

　　有點反對

　　強烈反對

　　投票結束后，CWE團隊和SIG成員共同審查了調查結果并應用了一種評分方法，其中為桶分配了 +2、+1、0、-1 和 -2 的權重。對于每個CWE條目，這些權重與每個桶中的投票百分比相乘，百分比表示為0到1之間的值。最高可能得分為2.0（100% 的票數為“強烈支持”）。得分最高的條目的得分為1.42。這導致了之前選擇的31個硬件CWE的排名順序，在最高12項和最高17項之后的得分有明確的劃分。最高的12個條目的分數從1.03到1.42，接下來的5個條目的得分范圍為0.91到0.97。次高分是0.80。這些條目成為2021年CWE最重要的硬件漏洞列表和TOP硬件弱點。雖然研究團隊的方法對這 12（+5）個條目進行了排名，但HW CWE團隊和SIG認為將列表視為一個層級的漏洞，按重要性排序的集合是不切實際的。根據該方法，這些條目應該被認為是一組基本相同的硬件漏洞問題。

　　有了這些標準，CWE最重要的硬件漏洞的未來版本將演變為涵蓋不同的漏洞。研究團隊的目標是為社區提供最有用的列表。方法的局限性如下所述。

　　回到頂部

　　另外五個需要關注的漏洞

　　與CWE前25名最危險的軟件弱點類似，CWE團隊認為分享這五個額外的硬件弱點很重要，這些弱點得到了硬件CWE SIG的支持，但最終得分在2021年CWE最重要的硬件漏洞之外列表。

　　使用2021年CWE硬件列表執行緩解和風險決策的個人可能需要考慮在他們的分析中覆蓋到這幾個漏洞。Cusp上的漏洞按CWE-ID的數字順序列出。

　　CWE-226

　　重用前未刪除資源中的敏感信息

　　CWE-1247

　　針對電壓和時鐘毛刺的不當保護

　　CWE-1262

　　寄存器接口訪問控制不當

　　CWE-1331

　　片上網絡 （NoC） 中共享資源的不當隔離

　　CWE-1332

　　錯誤處理導致指令跳過

　　回到頂部

　　漏洞排行評估方法的局限性

　　用于生成首個CWE最重要硬件漏洞列表的方法在科學和統計嚴謹性方面有其局限性。在缺乏更多相關數據進行系統查詢的情況下，該列表是使用改進的德爾菲法利用主觀意見編制的，盡管來自知情的內容知識專家。

　　軟件CWE Top-25利用NIST國家漏洞數據庫（NVD）中的CVE? 數據，采用數據驅動的方法，考慮漏洞類型頻率和嚴重性。這在硬件領域是不可能的，主要是因為HW CWE與 CVE的關聯有限，因為HW CWE還處于起步階段。最近，CVE程序一直致力于發布硬件漏洞的CVE記錄。雖然發布后硬件漏洞的頻率遠低于軟件，但隨著越來越多的硬件漏洞數據可用，CWE硬件列表方法可能會發生變化。