ブログ IP住所検索
CWE一覧に戻る
CWE-1191

不適切なアクセス制御を伴うオンチップ・デバッグおよびテスト・インターフェース

On-Chip Debug and Test Interface With Improper Access Control
脆弱性 確定版
日本語説明
JA

このチップは、ユーザーが物理的なデバッグ/テスト・インターフェイスを通じて内部レジスタやテスト・モードにアクセスする権限があるかどうかをチェックするアクセス制御を実装していないか、正しく実行していません。

デバイスの内部情報には、通常はJTAGインターフェースを通じて、相互に接続された内部レジスタのスキャンチェーンを通じてアクセスすることができます。JTAGインターフェースは、デバイス上で実行されているプログラムのデバッグを目的として、スキャンチェーンの形でこれらのレジスタへのアクセスをシリアル方式で提供します。デバイスに含まれるほとんどすべての情報がこのインターフェイスを介してアクセスされる可能性があるため、デバイスメーカーは通常、この機密情報の意図しない使用を防ぐために、何らかの形式の認証と認可を挿入します。このメカニズムは、すでに存在するオンチップ保護に加えて実装される。

認証や認可、その他のアクセス・コントロールが実装されていなかったり、正しく実装されていなかったりすると、ユーザーはデバッグ・インターフェイスを通じてオンチップ保護メカニズムをバイパスすることができるかもしれません。

設計者は、マザーボード上にデバッグ・ピンを露出させないことを選択することがあります。その代わりに、これらのピンをボードの中間層に隠すことを選択します。これは主に、チップ内部のデバッグ権限の欠如を回避するために行われます。このようなシナリオ(デバッグ認証なし)では、デバッグ・インターフェースが露出すると、チップ内部が攻撃者にアクセス可能になってしまいます。

原文 (English)
EN

The chip does not implement or does not correctly perform access control to check whether users are authorized to access internal registers and test modes through the physical debug/test interface.

A device's internal information may be accessed through a scan chain of interconnected internal registers, usually through a JTAG interface. The JTAG interface provides access to these registers in a serial fashion in the form of a scan chain for the purposes of debugging programs running on a device. Since almost all information contained within a device may be accessed over this interface, device manufacturers typically insert some form of authentication and authorization to prevent unintended use of this sensitive information. This mechanism is implemented in addition to on-chip protections that are already present.

If authorization, authentication, or some other form of access control is not implemented or not implemented correctly, a user may be able to bypass on-chip protection mechanisms through the debug interface.

Sometimes, designers choose not to expose the debug pins on the motherboard. Instead, they choose to hide these pins in the intermediate layers of the board. This is primarily done to work around the lack of debug authorization inside the chip. In such a scenario (without debug authorization), when the debug interface is exposed, chip internals are accessible to an attacker.

関連する脆弱性
CWE-284 不適切なアクセス・コントロール
想定される影響
Scope: Confidentiality / Impact: Read Application Data
Scope: Confidentiality / Impact: Read Memory
Scope: Authorization / Impact: Execute Unauthorized Code or Commands
Scope: Integrity / Impact: Modify Memory
Scope: Integrity / Impact: Modify Application Data
Scope: Access Control / Impact: Bypass Protection Mechanism
対策・緩和策
If feasible, the manufacturer should disable the JTAG interface or implement authentication and authorization for the JTAG interface. If authentication logic is added, it should be resistant to timing attacks. Security-sensitive data stored in registers, such as keys, etc. should be cleared when entering debug mode.
外部リンク
MITRE公式ページ — CWE-1191