Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) đã ban hành cảnh báo bảo mật ưu tiên cao về các lỗ hổng nghiêm trọng trong hệ thống kiểm soát phanh đường sắt. Những lỗ hổng này có khả năng cho phép kẻ tấn công chiếm quyền điều khiển hoạt động của tàu và gây ra các tai nạn thảm khốc.
Cảnh báo, được công bố vào ngày 10 tháng 7 năm 2025, xác định các lỗi nghiêm trọng trong giao thức liên kết từ xa End-of-Train (EOT) và Head-of-Train (HOT). Đây là một giao thức nền tảng được sử dụng rộng rãi trên toàn bộ mạng lưới đường sắt Hoa Kỳ.
Phân tích Kỹ thuật Lỗ hổng
Mã định danh và Đánh giá Mức độ Nghiêm trọng
Lỗ hổng này được định danh là CVE-2025-1727. Nó ảnh hưởng đến tất cả các phiên bản của giao thức liên kết từ xa End-of-Train và Head-of-Train, một thành phần cốt lõi trong hoạt động vận tải hàng hóa và hành khách hiện đại. Giao thức này đóng vai trò quan trọng trong việc truyền tải các lệnh điều khiển thiết yếu giữa các đầu tàu và toa cuối, bao gồm cả các tín hiệu phanh.
CISA đã gán cho lỗ hổng này điểm CVSS v4 cơ bản là 7.2, cho thấy mức độ rủi ro đáng kể đối với cơ sở hạ tầng giao thông vận tải trọng yếu. Mức điểm này phản ánh khả năng tác động nghiêm trọng nếu lỗ hổng bị khai thác thành công, với tiềm năng gây ra thiệt hại vật chất và nguy hiểm đến tính mạng.
Cơ chế Khai thác và Lỗ hổng trong Giao thức
Nguyên nhân gốc rễ của lỗ hổng nằm ở cơ chế xác thực yếu kém của giao thức. Giao thức này chỉ dựa vào các tổng kiểm tra BCH checksums để tạo và kiểm tra tính toàn vẹn của gói tin. Việc chỉ dựa vào checksums để xác thực người gửi là không đủ và tạo ra một khe hở bảo mật nghiêm trọng có thể bị khai thác. BCH checksums, hay bất kỳ tổng kiểm tra nào, được thiết kế chủ yếu để phát hiện lỗi trong quá trình truyền dữ liệu (tính toàn vẹn), chứ không phải để xác minh danh tính hoặc ủy quyền của người gửi. Do đó, một kẻ tấn công có thể dễ dàng tạo ra các gói tin có checksum hợp lệ nhưng chứa các lệnh độc hại, khiến hệ thống nhận không thể phân biệt giữa lệnh hợp pháp và lệnh giả mạo.
Các nhà nghiên cứu an ninh mạng Neil Smith và Eric Reuter đã chứng minh rằng các tác nhân độc hại có thể sử dụng thiết bị phần mềm định nghĩa radio (Software-Defined Radio – SDR) sẵn có trên thị trường để tạo ra các gói tin liên lạc gian lận. SDR là một hệ thống truyền thông vô tuyến trong đó các thành phần phần cứng (như bộ trộn, bộ lọc, bộ điều chế/giải điều chế) được thay thế bằng phần mềm. Điều này cho phép SDR linh hoạt điều chỉnh tần số, dạng sóng và giao thức, làm cho nó trở thành một công cụ lý tưởng để mô phỏng và can thiệp vào các tín hiệu vô tuyến chuyên dụng, bao gồm cả các tín hiệu được sử dụng bởi giao thức EOT/HOT.
Với khả năng tạo ra các gói tin giả mạo chứa lệnh điều khiển phanh, kẻ tấn công có thể truyền các lệnh trái phép đến các thiết bị End-of-Train. Việc này tận dụng điểm yếu trong khâu xác thực, cho phép các lệnh độc hại được thực thi như thể chúng đến từ một nguồn hợp pháp.
Ảnh hưởng Tiềm tàng và Phạm vi Bị Ảnh hưởng
Rủi ro Vận hành và An toàn Hành khách
Khả năng chiếm quyền điều khiển phanh từ xa có thể cho phép kẻ tấn công buộc tàu dừng đột ngột, gây ra các tình huống cực kỳ nguy hiểm. Các kịch bản tiềm ẩn bao gồm trật bánh tàu, va chạm với các đoàn tàu khác hoặc các vật cản, hoặc thậm chí là làm hỏng hoàn toàn hệ thống phanh, khiến tàu mất kiểm soát. Những sự cố này không chỉ đe dọa trực tiếp đến sự an toàn của hành khách và phi hành đoàn mà còn gây ra thiệt hại tài sản đáng kể cho hàng hóa và cơ sở hạ tầng đường sắt, cùng với những tác động kinh tế và xã hội sâu rộng.
Trong một môi trường vận tải phức tạp như đường sắt, việc mất kiểm soát một phần hay toàn bộ hệ thống phanh có thể dẫn đến những hậu quả nghiêm trọng khó lường, đặc biệt là khi tàu di chuyển ở tốc độ cao hoặc trong các khu vực đông dân cư.
Phạm vi Các Nhà sản xuất Bị Ảnh hưởng
Lỗ hổng này không chỉ giới hạn ở một nhà cung cấp duy nhất mà còn ảnh hưởng đến thiết bị được sản xuất bởi các công ty công nghệ đường sắt lớn hàng đầu thế giới, bao gồm Hitachi Rail STS USA, Wabtec và Siemens. Điều này cho thấy tính chất phổ biến của rủi ro bảo mật này trên toàn ngành vận tải, nhấn mạnh rằng đây là một vấn đề mang tính hệ thống liên quan đến tiêu chuẩn giao thức hơn là lỗi triển khai riêng lẻ của một nhà cung cấp nào đó. Phạm vi ảnh hưởng rộng lớn này đòi hỏi một nỗ lực phối hợp giữa các nhà khai thác, nhà sản xuất và cơ quan chính phủ để giải quyết triệt để vấn đề.
Điều kiện Khai thác và Hạn chế Bề mặt Tấn công
CISA nhấn mạnh rằng, mặc dù chưa có báo cáo công khai về việc khai thác lỗ hổng này trên thực tế, nó vẫn đại diện cho một mối đe dọa đáng kể đối với cơ sở hạ tầng giao thông vận tải trọng yếu của quốc gia.
Cơ quan này lưu ý rằng các cuộc tấn công thành công đòi hỏi quyền truy cập mạng lân cận (adjacent network access) chứ không phải kết nối internet từ xa. “Truy cập mạng lân cận” có nghĩa là kẻ tấn công cần phải có mặt vật lý gần hệ thống mục tiêu hoặc đã có được quyền truy cập vào mạng cục bộ nơi các thiết bị EOT/HOT đang hoạt động. Điều này làm giảm đáng kể bề mặt tấn công so với các lỗ hổng có thể bị khai thác qua internet từ bất kỳ đâu trên thế giới. Tuy nhiên, yếu tố này không loại bỏ hoàn toàn rủi ro, mà chỉ thay đổi vectơ tấn công tiềm năng.
Các tác nhân đe dọa tiềm năng có thể bao gồm những kẻ tấn công nội bộ (nhân viên hoặc nhà thầu độc hại), hoặc các nhóm tấn công có nguồn lực lớn (APT – Advanced Persistent Threats) có khả năng thực hiện xâm nhập vật lý hoặc kỹ thuật để giành quyền truy cập vào mạng cục bộ của hệ thống điều khiển công nghiệp (ICS).
Biện pháp Giảm thiểu và Khuyến nghị An ninh
Hiệp hội Đường sắt Hoa Kỳ (AAR), thông qua Ủy ban Tiêu chuẩn Điện tử Đường sắt của mình, hiện đang tích cực điều tra các giải pháp giảm thiểu rủi ro cho giao thức bị ảnh hưởng. Đồng thời, AAR cũng đang theo đuổi việc phát triển thiết bị và tiêu chuẩn liên lạc mới nhằm thay thế các giao thức dễ bị tấn công hiện tại. Đây là một nỗ lực dài hạn nhằm nâng cao bảo mật cho toàn bộ hệ thống đường sắt.
Hướng dẫn của CISA cho các Nhà khai thác Đường sắt
CISA đã ban hành hướng dẫn toàn diện cho các nhà khai thác đường sắt để giảm thiểu rủi ro tiếp xúc với lỗ hổng này. Các khuyến nghị chính được tập trung vào việc tăng cường phân đoạn mạng và kiểm soát truy cập:
- Cô lập mạng lưới hệ thống điều khiển: Đảm bảo rằng các mạng lưới hệ thống điều khiển vận hành (OT networks) được đặt phía sau tường lửa mạnh mẽ và tách biệt hoàn toàn khỏi các mạng khác, đặc biệt là mạng lưới công nghệ thông tin (IT networks) và mạng lưới kết nối internet. Việc này tạo ra một rào cản vật lý và logic quan trọng, ngăn chặn truy cập trái phép và sự lây lan của các mối đe dọa từ môi trường IT kém an toàn hơn sang môi trường OT nhạy cảm.
- Hạn chế truy cập internet cho thiết bị EOT/HOT: Đảm bảo rằng các thiết bị End-of-Train và Head-of-Train không thể truy cập trực tiếp từ các mạng có kết nối internet. Bất kỳ kết nối nào với internet đều làm tăng đáng kể bề mặt tấn công và nguy cơ bị tấn công từ xa. Việc loại bỏ các kết nối trực tiếp này là bước phòng thủ cơ bản và hiệu quả.
- Triển khai Mạng riêng ảo (VPN) an toàn: Đối với bất kỳ quyền truy cập từ xa nào cần thiết vào hệ thống điều khiển, việc triển khai và sử dụng các Mạng riêng ảo (VPN) được cấu hình an toàn là bắt buộc. VPN mã hóa toàn bộ lưu lượng truy cập và yêu cầu xác thực mạnh mẽ, cung cấp một kênh liên lạc an toàn cho các hoạt động quản trị hoặc giám sát từ xa. Điều này giúp bảo vệ dữ liệu nhạy cảm và ngăn chặn việc chiếm đoạt phiên làm việc.
- Phân tích tác động và Đánh giá rủi ro kỹ lưỡng: CISA đặc biệt khuyên các tổ chức nên tiến hành phân tích tác động và đánh giá rủi ro kỹ lưỡng trước khi triển khai bất kỳ biện pháp phòng thủ nào. Điều này giúp hiểu rõ hơn về các kịch bản tấn công tiềm năng cụ thể đối với hệ thống của mình, tác động của chúng, và lựa chọn các biện pháp đối phó hiệu quả nhất, phù hợp với môi trường và yêu cầu vận hành đặc thù của hệ thống đường sắt.
- Liên hệ trực tiếp với nhà sản xuất thiết bị: Các công ty đường sắt được khuyến khích mạnh mẽ liên hệ trực tiếp với các nhà sản xuất thiết bị của họ để nhận hướng dẫn bảo mật cụ thể cho từng loại thiết bị. Các nhà sản xuất thường là nguồn thông tin tốt nhất về các bản vá lỗi, cấu hình an toàn, các biện pháp giảm thiểu đề xuất và lộ trình nâng cấp thiết bị để giải quyết các lỗ hổng đã biết.
- Thực hiện chiến lược an ninh mạng phòng thủ theo chiều sâu (Defense-in-Depth): Áp dụng nhiều lớp bảo mật để bảo vệ hệ thống. Điều này bao gồm kết hợp các biện pháp kiểm soát kỹ thuật (ví dụ: tường lửa, mã hóa, IPS), hành chính (ví dụ: chính sách, đào tạo nhân sự) và vật lý (ví dụ: kiểm soát truy cập vật lý) để tạo ra một hệ thống phòng thủ mạnh mẽ, có khả năng chống chịu cao hơn trước các cuộc tấn công đa dạng.
Giám sát và Phát triển trong Tương lai
CISA tiếp tục theo dõi chặt chẽ các nỗ lực khai thác tiềm năng của lỗ hổng này trong khi hợp tác tích cực với các đối tác trong ngành đường sắt để phát triển các giao thức bảo mật nâng cao. Mục tiêu dài hạn là dần dần thay thế các hệ thống cũ dễ bị tấn công hiện đang bảo vệ cơ sở hạ tầng đường sắt của Hoa Kỳ bằng các giải pháp an toàn hơn. Quá trình chuyển đổi sang các tiêu chuẩn mới và thiết bị được cải tiến sẽ là một phần quan trọng của chiến lược quốc gia nhằm đảm bảo an ninh lâu dài cho hệ thống đường sắt.
