- Хакеры нуждаются только в дешевом оборудовании и базовых навыках, чтобы прекратить перемещение грузовых поездов на расстоянии
- Американская ассоциация железных дорог отклонила угрозу до тех пор, пока федеральное давление не принесло ответа ответ
- Система все еще не фиксирована, и полные обновления появятся как минимум 2027
Критическая ошибка в беспроводных системах, используемых в железнодорожных сетях США, была нерешенной в течение более десяти лет, что обнаруживает удаленные нарушения.
Восприимчивость к безопасности затрагивает устройства EOT (конец тренировки), направляя данные из последнего автомобиля на переднюю часть поезда и образуют соединение с горячим модулем (глава тренировок).
Хотя проблема была зарегистрирована в 2012 году, она была в значительной степени уволена до тех пор, пока вмешательства федерального правительства не принесли ответа.
Игнорированные предупреждения и задержанные ответы
Исследователи безопасности оборудования Слайд Во-первых, ошибка была идентифицирована в 2012 году, поскольку программные радиоприемники (SDR) начали размножаться.
Обнаружение показало, что эти радиоприемники могут легко имитировать сигналы в соответствии с подразделениями Hot и EOT.
Поскольку система зависит от базовой тестовой суммы BCH, а шифрование отсутствует, любое устройство, которое передает на одной и той же частоте, может вводить неправильные пакеты.
В рассматриваемом, горячее может отправить команды тормоза в EOT, что означает, что злоумышленник может остановить поезд на расстоянии.
«Эта восприимчивость к безопасности до сих пор не исправлена», — сказал Нилс в социальных сетях и показал, что она продолжалась более десяти лет, а общественная консультация по кибербезопасности и Управлению безопасности инфраструктуры (CISA) до того, как были приняты значимые меры.
Проблема, которая в настоящее время каталогизируется как CVE 2025-1727, позволяет нам поезда с нарушениями оборудования, которые стоят менее 500 долларов.
Результаты Нейлов пострадали от Американской ассоциации железных дорог (AAR) со скептицизмом, который показал восприимчивость к безопасности как только «теоретическую» в 2012 году.
Попытки продемонстрировать ошибку были сорваны федеральным органом ванной комнаты из -за отсутствия специального маршрута испытаний, и AAR отказался от доступа к операционным местам.
Даже после того, как «Бостонский обзор» опубликовал результаты, AAR публично направил их к произведению в РесурсыПолем
К 2024 году директор по информационной безопасности AAR продолжил угрозу и утверждал, что рассматриваемые устройства подошли к концу жизни и не оправдали никакой срочной замены.
Только когда CISA опубликовал официальный совет, AAR начал решение. Обновление было объявлено в апреле 2025 года, но к 2027 году не ожидается полное использование.
Восприимчивость к безопасности основана на технологии, которая была разработана в 1980 -х годах, когда ограничения частоты снижают риск нарушения, что сегодня резко изменило ландшафт рисков.
«Оказывается, вы можете просто нарезать каждый поезд в США и взять под контроль тормоза», — сказал Нилс и ограничил более широкую озабоченность.
Продолжающаяся задержка и отказ от поездов США, вероятно, будут сидеть на бочке из стрельбы, что может привести к серьезным рискам в любое время.
Над Tomshardware
Вы также могли бы понравиться
