12 лет с момента обнаружения критических уязвимостей понадобилось Ассоциации американских железных дорог (AAR), чтобы прекратить использовать небезопасный радиопротокол, который может быть использован для активации тормозов на поездах в любой точке Северной Америки.

Этот радиопротокол связывает локомотив (голову поезда) с устройствами, установленными на последнем вагоне - оконечной сигнализации (ETD), иногда называемое EOT, мигающим задним фонарем (FRED) или датчиком и тормозным устройством (SBU).

Устройство используется для сбора телеметрических данных с задней части поезда, что особенно актуально для длинных грузовых поездов, длина которых часто превышает одну-две мили.

Помимо телеметрии, устройства также могут принимать команды от машинистов, самой важной из которых является торможение задней части поезда.

Еще в 2012 году исследователь Нил Смит пришел к выводу, что радиопротокол, используемый для отправки команд с локомотивов на устройства EoT, использует слабую форму аутентификации - простую контрольную сумму BCH.

Злоумышленник, имеющий дешевое оборудование стоимостью всего 500 долларов и программно-определяемую радиостанцию (SDR), способен создавать пакеты и отдавать команды устройству EoT для внезапного включения тормозов.

Расстояние зависит от усиления и прямой видимости. При этом EOT/HOT в том виде, в котором он разработан, работает лишь на расстоянии нескольких миль, поскольку в некоторых случаях поезда длиной 3 мили - не редкость.

Смит впервые сообщил о проблеме слабой аутентификации в ICS-CERT в 2012 году, после чего организация связалась с разработчиком протокола - Американской ассоциацией железных дорог.

AAR, в свою очередь, годами преуменьшала ее значение, рассматривая её лишь как теоретическую угрозу, даже несмотря на представленные Смитом доказательства обратного. Разрешение на проведение испытаний также не выдавало.

Поскольку AAR отказалась исправлять протокол, Смит публично раскрыл эту проблему в статье на Boston Review, однако неделю спустя AAR выпустила опровержение в Fortune.

По итогу Смит забил на эту ошибку.

Тем временем другой исследователь, Эрик Рейтер, независимо также наткнулся на ту же проблему два года спустя и даже представил ее на конференции DEFCON.

Тогда Смит решил вновь насесть на AAR и настоял на возобновлении кейса летом 2024 года.

На этот раз ситуация изменилась.

Проблема получила идентификатор CVE-2025-1727, и на прошлой неделе CISA даже выдала официальное предупреждение, спустя 12 лет после первоначального обнаружения.

Рекомендация появилась через два месяца после того, как сама AAR объявила о планах заменить устаревший протокол HoT/EoT на протокол IEEE 802.16t Direct Peer-to-Peer (DPP), который поддерживает как безопасность, так и реализует меньшую задержку.

Теперь железнодорожникам предстоит заменить более 75 000 устройств EoT на поездах по всей территории США, Канады и Мексики.

Внедрение запланировано на 2026 год, а на полную модернизацию составов потребуется около 5–7 лет и от 7 до 10 миллиардов долл.

Этим, собственно, и объясняются все старания AAR приуменьшить значимость проблемы, несмотря на очевидные выводы двух независимых исследований.

Теперь же после раскрытия технических деталей риски и вероятность эксплуатации CVE-2025-1727 значительно возросли.

Особенно, если учитывать, что подобные атаки уже совершались. При этом смягчающих мер практически не существует.

По данным WIRED, в августе 2023, неизвестные злоумышленники использовали аналогичный метод (адаптированный под европейский протокол), парализовав движение поездов в районе города Щецин.