Thế Việt
Writer
Cơ quan An ninh mạng và An ninh Hạ tầng Mỹ (CISA) vừa chính thức phát đi một cảnh báo về một lỗ hổng nghiêm trọng trong hệ thống điều khiển tàu hỏa, cho phép kẻ xấu có thể can thiệp và kích hoạt phanh khẩn cấp từ xa chỉ bằng một chiếc radio. Đáng nói hơn, lỗ hổng này đã được các nhà nghiên cứu phát hiện và cảnh báo từ hơn 10 năm trước nhưng chưa được khắc phục.
Lỗ hổng này nằm ở giao thức liên lạc giữa "thiết bị đầu tàu" (Head-of-Train) và "thiết bị cuối tàu" (End-of-Train), hay còn gọi là FRED. Đây là một thiết bị được gắn ở toa cuối cùng của đoàn tàu, có nhiệm vụ truyền các dữ liệu quan trọng như áp suất phanh về cho lái tàu thông qua sóng radio. Ngược lại, lái tàu cũng có thể gửi lệnh từ đầu tàu đến thiết bị FRED để kích hoạt phanh khẩn cấp ở phía cuối đoàn tàu.
Vấn đề là hệ thống này, vốn được triển khai lần đầu từ những năm 1980 để thay thế cho các nhân viên gác tàu ở toa cuối, lại không được trang bị bất kỳ cơ chế mã hóa hoặc xác thực bảo mật nào. Nó chỉ dựa vào việc truyền các gói dữ liệu thô, đi kèm một mã kiểm tra đơn giản để phát hiện lỗi do nhiễu sóng.
Chính sự thiếu vắng các biện pháp bảo mật này đã tạo ra một lỗ hổng nghiêm trọng. CISA cảnh báo rằng, chỉ với một thiết bị radio được điều khiển bằng phần mềm, kẻ xấu hoàn toàn có thể nghe lén và gửi các tín hiệu giả mạo để can thiệp vào hoạt động của đoàn tàu. "Nếu khai thác thành công, kẻ tấn công có thể gửi lệnh điều khiển phanh, khiến tàu dừng đột ngột, gây gián đoạn lịch trình hoặc thậm chí làm hỏng hệ thống phanh," cơ quan này cho biết.
Lỗ hổng này được hai nhà nghiên cứu Neil Smith và Eric Reuter phát hiện và báo cáo cho các cơ quan chức năng. Trong một bài đăng trên mạng xã hội X, ông Smith cho biết ông đã cảnh báo về rủi ro này cho Đội phản ứng khẩn cấp an ninh mạng trong hệ thống điều khiển công nghiệp (ICS-CERT) của Mỹ từ tận năm 2012.
"Bạn có thể điều khiển từ xa hệ thống phanh của một đoàn tàu từ khoảng cách rất xa, với một thiết bị có giá chưa tới 500 USD," ông Smith viết. Ông cảnh báo rằng nguy cơ này có thể dẫn đến việc tàu bị trật bánh, thậm chí làm tê liệt cả một hệ thống đường sắt quốc gia.
Tuy nhiên, theo ông Smith, trong nhiều năm, Hiệp hội Đường sắt Mỹ (AAR) đã cho rằng rủi ro này chỉ mang tính lý thuyết và yêu cầu phải có bằng chứng về một cuộc tấn công ngoài đời thực thì mới xem xét hành động.
Sau hơn một thập kỷ, dường như mọi thứ đã bắt đầu thay đổi. Vào tháng 4 vừa qua, AAR cuối cùng đã thông báo rằng họ sẽ bắt đầu quá trình nâng cấp hệ thống lỗi thời này, dự kiến bắt đầu từ năm 2026.
Trong khi đó, ông Chris Butera, Phó Giám đốc Điều hành phụ trách An ninh mạng của CISA, đã có những phát biểu nhằm giảm nhẹ mức độ rủi ro trước mắt. Ông cho biết lỗ hổng này đã được ngành đường sắt nhận biết và theo dõi trong nhiều năm. "Để khai thác được, kẻ tấn công sẽ cần phải tiếp cận thực tế đến tuyến đường sắt, có kiến thức chuyên sâu về giao thức kỹ thuật và sở hữu thiết bị chuyên dụng," ông Butera nói. Theo ông, những yêu cầu này làm giảm khả năng xảy ra các vụ tấn công quy mô lớn.
Dù vậy, CISA khẳng định họ đang phối hợp chặt chẽ với các đối tác trong ngành để đưa ra các biện pháp giảm thiểu rủi ro và xác nhận rằng một giải pháp khắc phục đang được triển khai. Vụ việc này là một lời nhắc nhở mạnh mẽ về tầm quan trọng của việc bảo mật cho các hạ tầng trọng yếu, nơi những hệ thống công nghệ cũ kỹ có thể trở thành những điểm yếu chết người.
Lỗ hổng từ một công nghệ của thập niên 1980
Lỗ hổng này nằm ở giao thức liên lạc giữa "thiết bị đầu tàu" (Head-of-Train) và "thiết bị cuối tàu" (End-of-Train), hay còn gọi là FRED. Đây là một thiết bị được gắn ở toa cuối cùng của đoàn tàu, có nhiệm vụ truyền các dữ liệu quan trọng như áp suất phanh về cho lái tàu thông qua sóng radio. Ngược lại, lái tàu cũng có thể gửi lệnh từ đầu tàu đến thiết bị FRED để kích hoạt phanh khẩn cấp ở phía cuối đoàn tàu.
Vấn đề là hệ thống này, vốn được triển khai lần đầu từ những năm 1980 để thay thế cho các nhân viên gác tàu ở toa cuối, lại không được trang bị bất kỳ cơ chế mã hóa hoặc xác thực bảo mật nào. Nó chỉ dựa vào việc truyền các gói dữ liệu thô, đi kèm một mã kiểm tra đơn giản để phát hiện lỗi do nhiễu sóng.
Chính sự thiếu vắng các biện pháp bảo mật này đã tạo ra một lỗ hổng nghiêm trọng. CISA cảnh báo rằng, chỉ với một thiết bị radio được điều khiển bằng phần mềm, kẻ xấu hoàn toàn có thể nghe lén và gửi các tín hiệu giả mạo để can thiệp vào hoạt động của đoàn tàu. "Nếu khai thác thành công, kẻ tấn công có thể gửi lệnh điều khiển phanh, khiến tàu dừng đột ngột, gây gián đoạn lịch trình hoặc thậm chí làm hỏng hệ thống phanh," cơ quan này cho biết.
Lời cảnh báo bị phớt lờ trong hơn một thập kỷ
Lỗ hổng này được hai nhà nghiên cứu Neil Smith và Eric Reuter phát hiện và báo cáo cho các cơ quan chức năng. Trong một bài đăng trên mạng xã hội X, ông Smith cho biết ông đã cảnh báo về rủi ro này cho Đội phản ứng khẩn cấp an ninh mạng trong hệ thống điều khiển công nghiệp (ICS-CERT) của Mỹ từ tận năm 2012.
"Bạn có thể điều khiển từ xa hệ thống phanh của một đoàn tàu từ khoảng cách rất xa, với một thiết bị có giá chưa tới 500 USD," ông Smith viết. Ông cảnh báo rằng nguy cơ này có thể dẫn đến việc tàu bị trật bánh, thậm chí làm tê liệt cả một hệ thống đường sắt quốc gia.
Tuy nhiên, theo ông Smith, trong nhiều năm, Hiệp hội Đường sắt Mỹ (AAR) đã cho rằng rủi ro này chỉ mang tính lý thuyết và yêu cầu phải có bằng chứng về một cuộc tấn công ngoài đời thực thì mới xem xét hành động.
Phản ứng của các cơ quan chức năng
Sau hơn một thập kỷ, dường như mọi thứ đã bắt đầu thay đổi. Vào tháng 4 vừa qua, AAR cuối cùng đã thông báo rằng họ sẽ bắt đầu quá trình nâng cấp hệ thống lỗi thời này, dự kiến bắt đầu từ năm 2026.
Trong khi đó, ông Chris Butera, Phó Giám đốc Điều hành phụ trách An ninh mạng của CISA, đã có những phát biểu nhằm giảm nhẹ mức độ rủi ro trước mắt. Ông cho biết lỗ hổng này đã được ngành đường sắt nhận biết và theo dõi trong nhiều năm. "Để khai thác được, kẻ tấn công sẽ cần phải tiếp cận thực tế đến tuyến đường sắt, có kiến thức chuyên sâu về giao thức kỹ thuật và sở hữu thiết bị chuyên dụng," ông Butera nói. Theo ông, những yêu cầu này làm giảm khả năng xảy ra các vụ tấn công quy mô lớn.
Dù vậy, CISA khẳng định họ đang phối hợp chặt chẽ với các đối tác trong ngành để đưa ra các biện pháp giảm thiểu rủi ro và xác nhận rằng một giải pháp khắc phục đang được triển khai. Vụ việc này là một lời nhắc nhở mạnh mẽ về tầm quan trọng của việc bảo mật cho các hạ tầng trọng yếu, nơi những hệ thống công nghệ cũ kỹ có thể trở thành những điểm yếu chết người.
