Крупная уязвимость в программном обеспечении дронов PX4 вызывает опасения по поводу угона
Широко используемое программное обеспечение для дронов только что получило серьезный сигнал кибербезопасности, и если вы управляете дронами в США, вам следует обратить на это внимание.
CYVIATION, фирма по авиационной кибербезопасности, обнаружила критическую уязвимость в PX4 Autopilot — одной из самых популярных платформ управления полетами с открытым исходным кодом, обеспечивающих работу дронов по всему миру. Проблема настолько серьезна, что Агентство по кибербезопасности и обеспечению инфраструктурной безопасности США (CISA) выпустило официальное уведомление, обозначив ее как угрозу высокого риска.
В основе проблемы лежит нечто удивительно простое: отсутствие уровня аутентификации.
По данным CYVIATION, дроны, работающие под управлением PX4 Autopilot, по умолчанию могут не иметь должной проверки своих каналов связи. Проще говоря, это означает отсутствие встроенной «цифровой подписи», подтверждающей легитимность отправляемых дрону команд.
Это открывает дверь для худшего сценария — злоумышленник, подключенный к той же сети, может внедрить вредоносные команды и фактически перехватить управление дроном в полете. Речь идет о полном контроле над навигацией, поведением и, возможно, даже бортовыми системами.
Уязвимости, обозначенной как CVE-2026–1579, присвоен почти максимальный балл серьезности — 9,8 из 10. Это практически самый высокий уровень опасности с точки зрения кибербезопасности.
PX4 — это не нишевое программное обеспечение. Оно является частью более широкой экосистемы с открытым исходным кодом, поддерживаемой Dronecode под эгидой Linux Foundation. Его широко используют разработчики, стартапы, исследователи и даже корпоративные операторы дронов. Сюда входят дроны, используемые для:
- Реагирования на чрезвычайные ситуации
- Оборонных и охранных операций
- Коммерческих инспекций и логистики
Таким образом, хотя реальных случаев эксплуатации пока не зафиксировано, потенциальный ущерб огромен. Компрометированный дрон в любой из этих сред может привести к операционным сбоям или, что хуже, к угрозе безопасности.
Что операторам следует сделать прямо сейчас
Хорошие новости? Это не аппаратный недостаток. Его можно устранить с помощью лучшей настройки и практики безопасности. CYVIATION и CISA призывают операторов принять немедленные меры:
1. Включите цифровые подписи
Включите подписывание сообщений MAVLink 2.0. Это гарантирует, что ваш дрон будет принимать команды только из доверенных источников.
2. Защитите свою сеть
Держите дроны и их системы управления вне общедоступных интернет-соединений. Используйте брандмауэры и изолируйте их от более широких корпоративных сетей.
3. Следуйте официальным руководствам по укреплению безопасности
PX4 предлагает руководство по укреплению безопасности с пошаговыми инструкциями. Сейчас самое время им воспользоваться.
CISA также рекомендует минимизировать сетевую доступность всех систем управления и использовать безопасные методы удаленного доступа, такие как VPN, при этом постоянно обновляя эти VPN.
Это открытие подчеркивает более широкую тенденцию: по мере того, как дроны становятся все более совершенными, они также становятся более привлекательными целями для кибератак. CYVIATION заявляет, что это только начало. Компания активно исследует другие системы управления полетами и сети дронов, предполагая, что в будущем могут появиться новые открытия.
На протяжении многих лет индустрия дронов уделяла большое внимание производительности — лучшим камерам, более длительному времени полета, более умным ИИ. Но этот инцидент служит напоминанием о том, что кибербезопасность должна идти в ногу со временем. Если вы используете дроны на базе PX4, это не то, что можно откладывать. Простое изменение конфигурации может стать разницей между безопасным полетом и компрометированным.
Подробнее: DJI подтверждает сроки прекращения поддержки дронов Mavic 2 и Matrice 600
