网络攻击让火车紧急刹停正在成为现实

前情回顾·轨道交通网络威胁态势

• 网络攻击迫使丹麦最大铁路公司火车全部停运

• 英国地方铁路遭勒索软件攻击，自助售票系统瘫痪

• 伊朗国家铁路遭网络攻击，各地车站大屏传播虚假延误信息

• 港铁通车以来首次列车相撞事故原因公布：承办商软件编程执行错误

安全内参7月15日消息，在相关隐患被报告超过12年之后，美国铁路协会（AAR）终于开始替换一种存在安全隐患的铁路通信协议。该协议存在被远程滥用的风险，攻击者可能激活列车刹车系统，导致北美地区的列车突然停驶。

这一安全漏洞涉及一种无线电协议，主要用于连接机车（即车头设备，简称HoT）与挂在列车最后一节车厢上的设备（即车尾设备，简称EoT），相关设备在业内又被称为FRED闪光后端设备）。

EoT设备主要用（于从列车尾部收集遥测数据，特别适用于长度超过1至2英里的货运列车，这类列车由于其长度无法轻易进行人工检查。

除了遥测功能外，EoT设备还能接收来自列车员的指令，其中最关键的一项功能是能够从列车尾部激活制动系统，而不必依赖前端操作。

利用伪造无线电数据包可让列车刹车系统紧急启动

早在2012年，硬件安全研究员尼尔·史密斯就发现，用于从机车向EoT设备发送指令的无线协议采用了一种极其薄弱的身份验证机制：仅为简单的BCH校验和。

史密斯表示，攻击者只需使用价值约500美元的硬件设备及一个软件定义无线电（SDR）工具，便可伪造数据包并向EoT设备发送命令，让列车的刹车系统突然启动。

史密斯在接受Risky Business播客采访时表示：“通信距离取决于天线增益和无线电视距。EoT/HoT设计时原本只打算在几英里的范围内使用，因为有些列车甚至长达3英里。但如果你在飞机上，根本不需要大功率信号，也能在457MHz频段上将信号传播超过150英里。”

一旦该漏洞被利用，后果可能极为严重。列车突然紧急刹车可能导致乘客受伤、列车脱轨，甚至造成交通中断。

史密斯早在2012年就将这一身份验证漏洞报告给卡巴斯基工业控制系统网络紧急响应团队（ICS CERT），随后该机构将问题通报给协议所有者美国铁路协会。

然而，多年来，美国铁路协会一直淡化此事，称其为“理论上的威胁”。尽管史密斯曾提出进行实际演示以证明漏洞危害，但协会始终拒绝听取其建议。

争取12年终于推动漏洞处理与修复工作

史密斯告诉Risky Business：“美国铁路协会从未授权我们在位于科罗拉多州普韦布洛的测试轨道上进行真实列车的安全测试。而讽刺的是，该设施实际上归联邦铁路管理局（FRA）所有。”

“由于未能进行真实环境下的测试，美国铁路协会便以此为由，拒绝将此问题视为‘真正的安全隐患’。”

在美国铁路协会拒绝修复协议后，史密斯当时选择将该漏洞公开，发表在《波士顿评论》上。而在一周后，美国铁路协会通过《财富》杂志的文章做出回应，试图驳斥他的观点。

7月11日，史密斯发表一系列推文，表示自《财富》文章发布以来，他几乎放弃了推动该漏洞修复的努力，因为美国铁路协会始终拒绝正视问题。

然而，事情并未就此终结。两年后，另一位安全研究员埃里克·罗伊特也独立发现了相同问题，并在DEFCON安全大会上进行了演示。

尽管如此，该问题依旧被搁置，直到史密斯决定再次推动修复进程。

史密斯表示：“我在2024年夏天再次要求他们重启漏洞处理流程。由于埃里克·罗伊特是独立发现此漏洞，这无疑增加了我们推动改进的说服力，也证明我并非空穴来风。”

这一次，事情终于迎来了转机。该漏洞被正式分配了CVE编号（CVE-2025-1727），而就在上周，美国网络安全与基础设施安全局（CISA）发布了相关安全警告，距最初发现问题已经过去整整12年。

超7.5万个设备需要替换，成本将高达70-100亿美元

这一警告发布前两个月，美国铁路协会宣布更换协议。该协会表示将用IEEE 802.16t点对点直连（DPP）协议取代原有的HoT/EoT通信协议。新协议不仅提升了安全性，还具备更低的通信延迟。

这意味着，美国、加拿大和墨西哥境内的列车将需要更换超过7.5万个EoT设备，这将是一项规模庞大的工程。

史密斯在上周接受Risky Business采访时表示：“最终还是要看他们更换这大约7.5万个设备的速度。他们希望从2026年开始部署新设备，但我估计要彻底解决这一问题，可能还需要5到7年的时间。”

“我还估计，整个修复项目的成本将在70亿至100亿美元之间。”

这一巨额成本，也从侧面解释了为何美国铁路协会多年始终淡化问题，迟迟不愿废弃旧协议。

该漏洞很可能已被实际利用

但随着越来越多的细节被公开，这同样也可能为滥用漏洞的人提供机会。史密斯表示，迄今为止尚未收到任何已知攻击者利用该漏洞发动攻击的消息。

他指出，判断漏洞是否遭到利用其实并不困难。

“只要事故发生后硬件还能被恢复，就能从日志中看出是否是HoT发出了指令并被EoT接收，或反之。如果EoT接收到的指令在HoT日志中找不到对应的发送记录，那就说明可能存在问题。”

至于被实际利用的可能性？史密斯认为相当高。

早在2023年8月，波兰什切青市附近就曾发生一起类似事件，身份不明者利用类似技术干扰列车运行。尽管所用技术不同——因为欧洲列车使用的是不同的信号协议——但造成的后果却是一样的：列车突然停驶，当地铁路系统陷入瘫痪。

据《连线》杂志报道，攻击者通过发送三个声波信号来触发列车紧急刹车，同时混合播放俄罗斯国歌及总统普京的讲话片段。这次攻击发生在波兰成为乌克兰战争物资运输核心枢纽之后。

考虑到美国目前仍在向乌克兰提供支持，并在今夏对伊朗采取了行动，这一漏洞无疑为所谓的“懒人破坏者”提供了可乘之机。

对此，几乎没有可行的应对措施。正如史密斯所言，一切最终仍取决于设备更换的速度。

参考资料：https://news.risky.biz/risky-bulletin-major-eot-hot-vulnerability-can-bring-trains-to-sudden-stops/

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。