MITRE CWE-1384 不当处理物理或环境条件漏洞详解

漏洞概述 CWE-1384: 不当处理物理或环境条件 该漏洞描述的是产品未能正确处理可能自然发生或人为诱导的意外物理或环境条件。硬件产品通常只在特定的物理限制或环境条件下保证正确行为。然而，无法处理这些条件可能会削弱产品的安全性。例如，意外的物理或环境条件可能导致用于认证决策的位翻转。 影响范围 影响：因上下文而异，意外状态 细节：范围包括机密性、完整性、可用性 后果：这些弱点的后果高度依赖于受影响组件在更大产品中的角色 修复方案 潜在缓解措施 1. 需求阶段 - 在需求中明确说明产品在超出物理和环境边界条件时的表现，例如通过关闭。 2. 架构与设计；实施阶段 - 尽可能包含能够检测过量环境条件并具备关闭能力的独立组件。 3. 架构与设计；实施阶段 - 尽可能使用屏蔽或其他材料来增加攻击者的工作量，并减少成功触发安全相关故障的可能性。 演示示例 示例 1 以下是一段C代码，它是安全启动流程的一部分。运行时固件镜像的签名被计算并与黄金值进行比较。如果签名匹配，引导加载程序会加载运行时固件。如果不匹配，则发生错误中止。如果底层硬件执行此代码时不包含任何电路或传感器来检测电压或时钟毛刺，攻击者可能在签名检查发生时在标记位置注入故障攻击，从而导致签名检查过程被绕过。 在绕过安全启动后，攻击者可以访问系统资产，而这些资产是攻击者不应拥有的。 示例 2 2016年，一位研究人员（同时也是起搏器患者）在飞机上时，起搏器中发生了位翻转，这可能是由于高空宇宙辐射的较高发生率所致。起搏器被设计为应对位翻转并进入默认安全模式，但仍迫使患者前往医院获取重置。位翻转还意外地使研究人员能够访问崩溃文件、执行逆向工程并检测硬编码密钥。 参考链接 [REF-1248] Securing Energy Infrastructure Executive Task Force (SEI ETF). "Categories of Security Vulnerabilities in ICS". ICS Communications / 2. Unreliability. 2022-03-09. [REF-1255] Sergei Skorobogatov. "Semi-invasive attacks - A new approach to hardware security analysis". 2005-04. [REF-1285] Texas Instruments. "Physical Security Attacks Against Silicon Devices". 2022-01-31. [REF-1286] Lennert Wouters, Benedikt Gierlichs and Bart Preneel. "On The Susceptibility of Texas Instruments SimpleLink Platform Microcontrollers to Non-Invasive Physical Attacks". 1.2. 2022-03-14. [REF-1101] Anders B. Wilhelmsen, Elvind S. Kristiansen and Marie Moe. "The Hard-coded Key to my Heart - Hacking a Pacemaker Programmer". 2019-08-10. 内容历史 提交日期：2022-04-21 提交者：CWE Content Team 组织：MITRE 贡献日期：2022-05-13 贡献者：硬件CWE特别兴趣组 成员关系 ICS Communications - Unreliability ICS Dependencies (& Architecture): External Physical Systems Comprehensive Categorization: Improper Check or Handling of Exceptional Conditions 漏洞映射笔记 用法：允许（需仔细审查映射说明） 原因：抽象 理由：此CWE条目是一个类，可能有更合适的基类子项 评论：检查此条目的子项，看是否有更好的匹配 参考文献 [REF-1248] Securing Energy Infrastructure Executive Task Force (SEI ETF). "Categories of Security Vulnerabilities in ICS". ICS Communications / 2. Unreliability. 2022-03-09. [REF-1255] Sergei Skorobogatov. "Semi-invasive attacks - A new approach to hardware security analysis". 2005-04. [REF-1285] Texas Instruments. "Physical Security Attacks Against Silicon Devices". 2022-01-31. [REF-1286] Lennert Wouters, Benedikt Gierlichs and Bart Preneel. "On The Susceptibility of Texas Instruments SimpleLink Platform Microcontrollers to Non-Invasive Physical Attacks". 1.2. 2022-03-14. [REF-1101] Anders B. Wilhelmsen, Elvind S. Kristiansen and Marie Moe. "The Hard-coded Key to my Heart - Hacking a Pacemaker Programmer". 2019-08-10. 内容历史 提交日期：2022-04-21 提交者：CWE Content Team 组织：MITRE 贡献日期：2022-05-13 贡献者：硬件CWE特别兴趣组 成员关系 ICS Communications - Unreliability ICS Dependencies (& Architecture): External Physical Systems Comprehensive Categorization: Improper Check or Handling of Exceptional Conditions 漏洞映射笔记 用法：允许（需仔细审查映射说明） 原因：抽象 理由：此CWE条目是一个类，可能有更合适的基类子项 评论：检查此条目的子项，看是否有更好的匹配 参考文献 [REF-1248] Securing Energy Infrastructure Executive Task Force (SEI ETF). "Categories of Security Vulnerabilities in ICS". ICS Communications / 2. Unreliability. 2022-03-09. [REF-1255] Sergei Skorobogatov. "Semi-invasive attacks - A new approach to hardware security analysis". 2005-04. [REF-1285] Texas Instruments. "Physical Security Attacks Against Silicon Devices". 2022-01-31. [REF-1286] Lennert Wouters, Benedikt Gierlichs and Bart Preneel. "On The Susceptibility of Texas Instruments SimpleLink Platform Microcontrollers to Non-Invasive Physical Attacks". 1.2. 2022-03-14. [REF-1101] Anders B. Wilhelmsen, Elvind S. Kristiansen and Marie Moe. "The Hard-coded Key to my Heart - Hacking a Pacemaker Programmer". 2019-08-10. 内容历史 提交日期：2022-04-21 提交者：CWE Content Team 组织：MITRE 贡献日期：2022-05-13 贡献者：硬件CWE特别兴趣组 成员关系 ICS Communications - Unreliability ICS Dependencies (& Architecture): External Physical Systems Comprehensive Categorization: Improper Check or Handling of Exceptional Conditions 漏洞映射笔记 用法：允许（需仔细审查映射说明） 原因：抽象 理由：此CWE条目是一个类，可能有更合适的基类子项 评论：检查此条目的子项，看是否有更好的匹配 参考文献 [REF-1248] Securing Energy Infrastructure Executive Task Force (SEI ETF). "Categories of Security Vulnerabilities in ICS". ICS Communications / 2. Unreliability. 2022-03-09. [REF-1255] Sergei Skorobogatov. "Semi-invasive attacks - A new approach to hardware security analysis". 2005-04. [REF-1285] Texas Instruments. "Physical Security Attacks Against Silicon Devices". 2022-01-31. [REF-1286] Lennert Wouters, Benedikt Gierlichs and Bart Preneel. "On The Susceptibility of Texas Instruments SimpleLink Platform Microcontrollers to Non-Invasive Physical Attacks". 1.2. 2022-03-14. [REF-1101] Anders B. Wilhelmsen, Elvind S. Kristiansen and Marie Moe. "The Hard-coded Key to my Heart - Hacking a Pacemaker Programmer". 2019-08-10. 内容历史 提交日期：2022-04-21 提交者：CWE Content Team 组织：MITRE 贡献日期：2022-05-13 贡献者：硬件CWE特别兴趣组 成员关系 ICS Communications - Unreliability ICS Dependencies (& Architecture): External Physical Systems Comprehensive Categorization: Improper Check or Handling of Exceptional Conditions 漏洞映射笔记 用法：允许（需仔细审查映射说明） 原因：抽象 理由：此CWE条目是一个类，可能有更合适的

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

MITRE CWE-1384 不当处理物理或环境条件漏洞详解

目标达成感谢每一位支持者 — 我们达成了 100% 目标！