软件定义的无线电可远程刹停火车:一个拖延20年的致命漏洞及其行业警示
原文链接: https://mp.weixin.qq.com/s?__biz=MzkyMjQ5ODk5OA==&mid=2247511953&idx=3&sn=7bf0f19feec09a686fcc5fd88fbadc29
软件定义的无线电可远程刹停火车:一个拖延20年的致命漏洞及其行业警示
原创 网空闲话 网空闲话plus 2025-07-15 00:41
2025年7月10日,美国网络安全和基础设施安全局(CISA)的紧急警报犹如一记惊雷:货运列车尾部一个名为FRED的黑色小盒子,正将整个国家铁路系统置于黑客的枪口之下。研究证实,攻击者仅需价值500美元的软件定义无线电设备,便能向行驶中的列车发送伪造的紧急制动指令,轻则引发运营中断,重则导致脱轨事故。更令人震惊的是,这一漏洞早在2005年就被首次报告,却在美国铁路协会(AAR)与技术研究人员的拉锯战中拖延整整20年。这场危机不仅暴露了单一系统的缺陷,更揭示了关键基础设施领域普遍存在的安全惰性与制度性风险——当技术进化速度远超行业监管响应时,铁轨上的每一节车厢都可能成为移动的靶心。
漏洞原理:无线协议的安全裸奔
货运列车的安全运行依赖于头尾设备的实时通信。列车尾部的“闪光尾端设备”(FRED)通过无线电向车头的控制单元传输气压数据并接收制动指令。问题根源在于其通信协议采用了过时的BCH校验和机制,这种诞生于上世纪80年代的技术仅能验证数据完整性,却无法识别恶意指令的真伪。攻击者使用软件定义无线电(SDR)监听列车通信后,便可轻易逆向工程协议结构,伪造包含“紧急制动”命令的数据包。正如研究员尼尔·史密斯所警示:“这就像用透明胶带封住保险箱——任何掌握基础无线电知识的人都能破解”。
灾难性影响:从急停到系统性崩溃
该漏洞的破坏力远超普通网络故障。当黑客强制触发列车尾部制动时,车头与车尾的制动动作将产生剧烈冲突。对于长达数公里的货运列车,这种非同步制动极易引发车厢挤压甚至脱轨。CISA在公告中明确指出,攻击可导致“制动系统过载失效”,这正是1980年代多起重大铁路事故的技术诱因。更严峻的是,史密斯强调此类攻击具备级联效应:只需针对主干线路的几列关键货车发动攻击,便足以瘫痪全美铁路网络数日。2023年波兰黑客通过类似技术干扰20列火车运行的案例,已验证了威胁的现实性。值得注意的是,客运列车同样使用类似通信设备,意味着风险已蔓延至人员运输领域。
二十年拉锯战:一部行业安全惰性实录
漏洞处置的拖延史堪称关键基础设施安全的反面教材:
2005年的首次警告石沉大海,当研究员向美国铁路协会(AAR)提交协议缺陷时,行业以“缺乏实证”为由搁置。
2012年尼尔·史密斯的独立研究遭遇制度性阻挠。尽管他在实验室用SDR成功截取并仿冒了列车指令,AAR坚持要求“在真实运行的列车上复现攻击”才予承认——这等同于要求研究员实施犯罪。
2016年舆论博弈白热化,《波士顿评论》揭露铁路业“利润优先于安全”的报道引发公众关注,但AAR通过《财富》杂志的反击文章成功转移焦点,将技术争议扭曲为“不实指控”。
2018年埃里克·路透在DEFCON大会的技术演示仍未唤醒行业。其开源工具PyEOT详细展示了攻击流程,AAR却以“协议即将淘汰”继续拖延。
直至2025年CISA被迫公开漏洞施压,AAR才承诺采用新标准IEEE 802.16t。但替换全美7万台设备需耗时数年,期间铁路网络将持续暴露于风险中。
这场马拉松般的博弈,暴露出行业监管的深层痼疾:以“运营连续性”为名回避安全升级,将技术债转化为公共安全风险。
行业普遍性:铁轨上的“定时炸弹”群
CVE-2025-1727绝非孤例,而是传统工业系统安全危机的缩影:
开放式无线协议的遗留风险。铁路系统广泛依赖未加密的无线通信。除FRED协议外,列车控制系统(PTC)、轨道传感器网络同样采用类似技术。2015年德克萨斯A&M大学团队曾演示通过GPS欺骗改变船舶航向,同类技术对铁路导航的威胁至今未解。
长设备生命周期的安全断层。工业设备的20-30年使用周期远超IT系统。当1980年代部署的FRED设备仍在服役时,其设计之初从未考虑“黑客远程攻击”场景。类似问题存在于电网SCADA系统、输油管道控制器等关键设施。
行业标准更新的系统性滞后。AAR主导的铁路电子标准委员会(RESC)在2012年已知晓漏洞,却优先推动其他技术升级。这种“效率优先,安全靠后”的决策模式,在运输、能源等行业普遍存在。
安全漏洞背后的制度黑洞
“可接受风险”的致命误判。行业长期将网络安全视为“理论威胁”,却忽略攻击门槛的指数级下降。价值500美元的SDR设备与开源软件的结合,已使中学生都可能掌握攻击能力。
监管失效的恶性循环。ICS-CERT作为协调机构缺乏强制力,而AAR凭借行业垄断地位架空安全诉求。当监管机制依赖企业自律时,公共利益必然让位于商业成本。
技术债务的灾难性利息。AAR以“设备将淘汰”为由拒绝对现网漏洞负责,实则将技术债务转嫁给社会。新标准802.16t虽提升安全性,但2027年的部署窗口足以让黑客发动数百次攻击。
评估体系的脱节。CVSS评分未将“人身伤亡可能性”纳入权重,导致能引发脱轨的漏洞(8.1分)与普通服务器漏洞分值相当。工业系统亟需独立的危险性评估框架。
结语:铁轨上的安全哲学
当一列装载危化品的货车驶过芝加哥郊区,车尾的FRED设备正以1980年代的技术标准向黑客敞开大门。这个拖延20年的漏洞揭示的不仅是技术缺陷,更是一种安全哲学的溃败——当行业将“运行连续性”凌驾于“安全可信性”之上时,每一公里的铁轨都在积累系统性风险。CVE-2025-1727的最终解决或许要等到2027年新协议部署,但铁路网络的安全升级不应止步于此。唯有建立强制性的工业设备安全生命周期、赋予监管机构独立审计权、并将网络安全纳入事故责任认定体系,才能避免下一次危机在另一个20年的沉默中爆发。正如安全研究者们在DEFCON演讲中的警示:“在关键基础设施领域,便利性从来不应是安全性的对立面,而是它的基石。”
参考资源
1、
https://www.theregister.com/2025/07/14/train_brakes_flaw/
2、
https://www.securityweek.com/train-hack-gets-proper-attention-after-20-years-researcher/
3、
https://www.cisa.gov/news-events/ics-advisories/icsa-25-191-10
4、
https://x.com/midwestneil/status/1943708133421101446
5、
https://ir.ondas.com/press-releases/detail/201/association-of-american-railroads-selects-dot16-protocol
本文由DeepSeek撰写。