CISA cảnh báo nguy cơ tàu hỏa bị tấn công từ xa qua lỗ hổng nghiêm trọng ảnh hưởng đến hệ thống phanh

Mới đây, CISA đã công bố một khuyến cáo mô tả về lỗ hổng CVE-2025-1727. Đây là một lỗ hổng ảnh hưởng đến giao thức liên kết từ xa được sử dụng bởi các hệ thống được gọi là End-of-Train và Head-of-Train.

Thiết bị End-of-Train (EoT) còn được gọi là Thiết bị đèn báo hiệu phía sau (Flashing Rear End - FRED), được đặt ở cuối đoàn tàu, được thiết kế để truyền dữ liệu đến một thiết bị trên đầu máy xe lửa có tên là Head-of-Train (HoT). Hệ thống này dùng để thay thế toa cuối, được sử dụng để thu thập dữ liệu trạng thái từ cuối đoàn tàu (dữ liệu này đặc biệt hữu ích cho các đoàn tàu chở hàng dài), nhưng nó cũng có thể nhận lệnh để phanh ở phía sau đoàn tàu.

Theo khuyến cáo của CISA, vấn đề là giao thức liên kết EoT và HoT từ xa qua tín hiệu vô tuyến không an toàn (không sử dụng xác thực hoặc mã hóa) có thể cho phép kẻ tấn công sử dụng các gói tin với thiết kế đặc biệt truyền qua sóng vô tuyến được xác định bằng phần mềm để gửi lệnh đến thiết bị EoT.

CISA cho biết: "Kẻ tấn công khai thác thành công lỗ hổng này có thể gửi lệnh điều khiển phanh của riêng chúng đến thiết bị cuối đoàn tàu, khiến đoàn tàu dừng đột ngột, có thể dẫn đến gián đoạn hoạt động hoặc gây ra hỏng phanh".

CISA đã ghi nhận đóng góp của các nhà nghiên cứu bảo mật Neil Smith và Eric Reuter trong việc tìm ra lỗ hổng bảo mật này. Smith đã chia sẻ thêm chi tiết và bối cảnh về CVE-2025-1727 vào ngày 11/7 trong một bài đăng trên mạng xã hội X.

Smith cho biết ông phát hiện ra vấn đề này vào năm 2012 khi đang thực hiện nghiên cứu bảo mật hệ thống điều khiển công nghiệp (ICS) với ICS-CERT (tiền thân của CISA). Trong nhiều năm tiếp theo, nhà nghiên cứu và ICS-CERT đã nỗ lực hợp tác với Hiệp hội Đường sắt Mỹ (AAR) để khắc phục lỗ hổng, nhưng họ đã không đạt được sự đồng thuận.

Smith chia sẻ, AAR muốn tác động của lỗ hổng bảo mật phải được chứng minh trong thực tế thay vì chỉ trong môi trường phòng thí nghiệm, điều này rất khó thực hiện do những hậu quả tiềm ẩn có thể xảy ra.

"Kẻ tấn công có thể điều khiển bộ điều khiển phanh của tàu hỏa từ xa, bằng một thiết bị phần cứng có giá dưới 500 USD. Kẻ tấn công có thể gây ra sự cố phanh dẫn đến trật bánh hoặc có thể làm tê liệt toàn bộ hệ thống đường sắt quốc gia". Smith giải thích, đồng thời nhận định rằng các thiết bị dễ bị tấn công này cũng có trên các chuyến tàu chở khách.

Bất đồng giữa các nhà nghiên cứu và AAR lên đến đỉnh điểm vào năm 2016, khi tờ Boston Review đăng một bài báo dựa trên phát hiện của Smith, cáo buộc ngành đường sắt đặt lợi nhuận lên trên sự an toàn. Vài ngày sau, AAR bác bỏ tuyên bố của Smith, cho rằng bài báo dựa trên những thông tin không chính xác và mô tả sai lệch.

Eric Reuter, nhà nghiên cứu thứ hai được CISA ghi nhận về việc phát hiện ra lỗ hổng, đã phát hiện ra vấn đề vào năm 2018 và tiết lộ chi tiết kỹ thuật tại Hội nghị DEF CON. Một lần nữa, AAR đã không đưa ra hành động nào.

Trong một diễn biến liên quân, Smith cho biết gần đây ông mới biết rằng lỗ hổng tương tự thực ra đã được phát hiện và báo cáo cho AAR lần đầu tiên cách đây 20 năm, vào năm 2005.

Nhà nghiên cứu thông tin rằng, khuyến cáo do CISA công bố vừa qua là kết quả của việc ông nộp lại phát hiện của mình vào năm 2024. Cơ quan này được cho là đã liên hệ với các nhà cung cấp bị ảnh hưởng và AAR, tuy nhiên vấn đề này một lần nữa bị xem nhẹ. Nhưng dưới áp lực của các bên, cuối cùng AAR đã tuyên bố rằng họ sẽ hành động.

CISA lưu ý rằng không có bằng chứng nào về việc lỗ hỗng đã bị khai thác trong thực tế và Ủy ban Tiêu chuẩn phụ trách giao thức đã nhận thức được lỗ hổng bảo mật và đang tìm cách giảm thiểu. Trong khi đó, AAR đang tìm hiểu các thiết bị và giao thức mới có thể thay thế các thiết bị EoT và HoT truyền thống. Khoảng 25.000 thiết bị HoT và 45.000 thiết bị EoT sẽ cần được nâng cấp, quá trình này dự kiến sẽ bắt đầu vào năm 2026.

Các chuyên gia an ninh mạng từ lâu đã cảnh báo về nguy cơ tàu hỏa dễ bị tin tặc tấn công và mối đe dọa này không chỉ còn là lý thuyết. Các cuộc tấn công mạng trực tiếp và gián tiếp đã gây gián đoạn hệ thống đường sắt trong những năm gần đây.

Trong một sự cố năm 2023 tại Ba Lan, 20 chuyến tàu đã bị gián đoạn do một vụ tấn công liên quan đến việc phát lệnh vô tuyến yêu cầu tàu dừng lại. Cuộc tấn công đó dựa trên một kỹ thuật đơn giản, lợi dụng việc tín hiệu điều khiển có thể được truyền đến tàu qua một tần số vô tuyến đã biết và không được mã hóa.