鐵路煞車系統資安漏洞

CVE-2025-1727 鐵路煞車系統 CISA

研究發現，全球許多國家採用的老舊鐵路煞車系統（特別是歐洲的ASFA系統及美國的End-of-Train/Head-of-Train遠端連結協議）存在嚴重的網路實體安全漏洞，攻擊者可利用成本低廉的設備進行竄改和破壞，威脅列車運行安全及重要基礎設施安全。

一、威脅概況

漏洞基本資訊

本文涉及多個相關的鐵路系統漏洞，其中最重要的為：

CVE-2025-1727：美國鐵路End-of-Train(EoT)與Head-of-Train(HoT)遠端連結協議弱驗證漏洞
嚴重程度：高（CVSS v3評分8.1）
影響範圍：所有美國貨運及客運列車
實際存在時間：超過十幾年未獲修復
歐洲ASFA系統漏洞：西班牙及其他歐洲國家採用的老舊類比煞車系統
嚴重程度：關鍵級別
攻擊難度：極低
所需成本：低廉

二、技術分析

(一) 漏洞根本原因

1. 美國EoT/HoT系統漏洞

End-of-Train及Head-of-Train設備通過無線電頻率(RF)發送遠端連結協議進行通訊，該協議存在以下根本缺陷：

無驗證機制：協議完全缺乏身份驗證機制，無法區分合法與非法信號源
無加密保護：所有通訊均以明文傳輸，未採用任何加密算法
過時校驗方法：僅依賴BCH校驗碼(Bose-Chaudhuri-Hocquenghem Checksum)用於封包驗證，該方法不足以防止惡意篡改

這些協議設計於網路威脅未被納入考量的年代，使其在現代威脅環境下完全脆弱。

2. 歐洲ASFA系統漏洞

ASFA系統採用純類比設計架構：

信號缺乏驗證：軌道旁的balise信號完全缺乏任何加密或驗證機制
易被複製：攻擊者可使用廉價訊號產生設備輕易複製或干擾信號]
實體防護不足：簡單的塑膠管無法有效防止攻擊者接觸balise接線

(二) 攻擊向量與技術手段

1. 攻擊方式

攻擊者可利用以下技術手段對鐵路系統進行竄改：

使用軟體定義無線電(Software-Defined Radio, SDR)設備製造偽造的控制封包
發送虛假的煞車命令至End-of-Train設備
干擾或欺騙列車司機的信號接收
直接對軌道旁的傳感設備進行實體竄改

2. 所需資源

攻擊所需資源為業界驚人的低廉：

硬體成本：低於500美元(約15,000台幣)的軟體定義無線電設備
技術門檻：無需高度專業化知識，主要需要理解協議的封包結構
實體材料：回收鋁罐、銅線及網路採購的廉價設備
技術複雜度：攻擊方式相對簡單直接，不需要複雜的駭客技能

(三) 攻擊距離與影響範圍

研究證實攻擊者可從相當遠的距離進行攻擊：

可在距目標列車相當遠的距離遠端控制列車煞車系統
攻擊無需司機知情或配合
不受列車位置限制，可針對特定區段軌道進行廣域攻擊

三、安全威脅評估

(一) 直接威脅

1. 列車運行安全威脅

煞車失控：攻擊者可觸發不當的煞車命令，導致列車突然停止
脫軌事故：急速煞車可能導致列車脫軌，特別是在高速運行時
碰撞風險：操縱多輛列車可相互衝突
煞車系統失效：可誘發煞車系統完全故障

2. 人員傷亡風險

乘客及列車員工安全受到直接威脅
可能導致大規模傷亡事件
危害駕駛安全及乘客生命

(二)關鍵基礎設施威脅

1. 營運中斷風險

可能導致整個國家鐵路系統全面癱瘓
對美國而言，該威脅涉及約140,000英里軌道、年度1.5億噸貨運量
每日約12,000列火車運行，全數面臨此風險

2. 國防安全影響

美國防部指定30,000英里鐵路為關鍵軍事動員和補給路線
任何成功攻擊可能危害美國軍事後勤能力
攻擊可能被敵對國家用於戰爭期間的戰略破壞

3. 經濟衝擊

服務中斷造成經濟損失
基礎設施破壞修復成本高昂
鐵路營運商聲譽受損，乘客信心下降

(三) 地區性風險分析

1. 美國風險

所有美國貨運及客運列車均受影響：

涉及七大主要鐵路運營商及數百家小型鐵路公司
約70,000輛機車受影響
需升級約25,000臺HoT設備及45,000臺EoT設備

2. 歐洲風險

歐洲鐵路網絡密集且高度依賴老舊系統：

西班牙ASFA系統及類似系統廣泛部署
歐洲鐵路網絡運輸量大、覆蓋範圍廣
客運為主，乘客密度高，人員傷亡風險更大

(四)威脅參與者分析

雖然目前尚未出現針對此漏洞的已知公開攻擊，但以下威脅參與者可能具備動機與能力：

國家級對手：俄羅斯、中國等國家級駭客組織
恐怖組織：可尋求製造大規模傷亡事件
惡意駭客與激進人士：如Z-Pentest等駭客組織已針對能源和基礎設施進行了類似活動
內部威脅：鐵路員工或承包商
機會性攻擊者：由於攻擊成本低廉，降低了進入門檻

四、現狀分析

(一)已知公開利用情況

根據CISA知識庫統計，截至當前：

未發現公開利用：CVE-2025-1727未列入CISA已知被利用漏洞目錄(Known Exploited Vulnerabilities Catalog)
威脅仍然存在：雖然未見公開攻擊，但漏洞本身的關鍵特性使其成為極高優先度的安全威脅
理論驗證完成：安全研究人員已在實驗室環境中完全驗證了攻擊可行性

(二)業界回應進展

1. 美國鐵路協會(AAR)升級計畫

AAR鐵路電子標準委員會意識到該漏洞並正在調查緩解方案
計劃開發新的協議及設備標準以取代老舊系統
AAR於2025年5月為新協議選定標準
修復時間表：新系統最早要到2027年才能推出

2. 安全廠商參與

受影響的設備製造商包括：

Hitachi Rail STS USA
Wabtec
Siemens
其他多家業者

(三)修復障礙

1. 技術障礙

漏洞修復需要改變由標準委員會維護的標準化協
涉及複雜的協議更新工作
需要與多個製造商協調升級

2. 業界障礙

鐵路業者歷史上對安全改善的抵制態度
當前產業趨勢：減少駕駛員、增加列車長度、提高盈利空間的壓力
缺乏修復內驅力：除非利益受損，否則業者不願投入

3. 時間成本

如無新的強制性要求，修復可能無限期延遲
估計需要升級的設備數量龐大：25,000台HoT + 45,000台EoT
升級預計於2026年開始

五、台灣地區相關風險

(一) 國內鐵路系統現況

台灣鐵路系統使用國產及進口設備，部分設備製造商與漏洞涉及廠商重疊：

台鐵及高鐵系統中存在進口設備
部分信號系統可能採用類似老舊設計理念
國內鐵路運輸承載重要客運及貨運功能

(二)潛在風險評估

台灣高度仰賴鐵路運輸，特別是客運密度高
如類似漏洞存在於國內系統，影響將涉及廣泛民眾
國內供應鏈可能包含相關設備或組件
鄰近地區鐵路系統受攻擊可能連帶影響國際運輸

(三) 建議事項

台灣鐵路局應主動進行安全審查，評估國內系統是否存在類似漏洞
檢視所有重要鐵路信號設備的設計年代及驗證機制
與交通部及相關部會建立漏洞協調機制
制定國內鐵路基礎設施網路安全防護標準

六、緩解與防護建議

(一) CISA官方建議

CISA針對該漏洞提出以下緩解措施：

最小化所有控制系統設備的網路曝露，確保不可從網際網路直接存取
將控制系統網路及遠端設備置於防火牆後方，與業務網路隔離
實施虛擬私人網路(VPN)用於遠端存取
定期進行系統安全審查

(二) 實體安全強化

1. 硬體層面防護

對煞車系統關鍵組件進行徹底實體檢查及稽查
識別並保護易受攻擊的部件，特別是司機或維護人員可直接存取的區域
部署防竄改密封及入侵偵測感測器
加強軌道旁信號設備的實體防護

2. 人員安全培訓

加強列車司機及操作人員的異常設備識別培訓
教導人員識別煞車系統異常行為
建立可疑設備通報機制
定期進行安全意識教育

(三) 技術防護措施

1. 系統監控

部署能偵測無線電信號異常的監控系統
實施即時實體竄改偵測機制
建立異常行為告警系統

2. 協議升級

與製造商協調開發及部署硬體或韌體更新
優先升級關鍵路段設備
建立分階段升級計劃

(四)營運程序改善

強化人機介面設計，防止未授權命令執行
審視並加強營運安全協議
建立煞車系統驗證機制
定期演習及應急預案測試

(五)業界協調

加強與列車製造商及設備供應商合作
推動採用「安全即設計」(Secure by Design)原則
建立安全通訊系統標準
參與國際鐵路資安標準制定

七、結論

鐵路煞車系統漏洞(CVE-2025-1727)及相關歐洲系統漏洞代表了全球關鍵基礎設施安全的重大隱患。主要發現包括：

(一)關鍵結論

嚴重性級別高：該漏洞威脅到全球數百萬乘客及數十億美元的物流體系安全
實現難度低：攻擊所需資源及技術門檻出乎意料地低廉，降低了威脅參與者進入門檻
長期未修：漏洞已存在超過13年，反映了業界對安全問題的長期忽視
修復遠期化：預計要到2027年才能推出完整解決方案，期間仍存在重大風險
系統性問題：根本問題不只是單一漏洞，而是大量老舊系統在現代威脅環境下的結構性脆弱

(二)台灣建議

國內運輸主管機關應立即啟動國內鐵路系統安全審查
識別是否存在類似漏洞或設計缺陷
制定符合國際最佳實踐的鐵路基礎設施資安標準
與國際組織及盟國進行資訊共享與協調
將鐵路系統資安納入國家關鍵基礎設施保護計畫

(三) 後續追蹤

CISA及相關單位發布的最新安全建議
美國鐵路協會升級進展
是否出現針對此漏洞的真實攻擊案例
其他國家發現的類似漏洞
國內系統的安全審查結果

FAQ問答

Q1：為什麼現有的鐵路首尾通訊設備（EoT/HoT）會成為駭客攻擊的目標？

A1：主要原因在於現行設備存在列車尾部設備通訊加密缺失的結構性問題。目前許多列車的首部設備（HoT）與尾部設備（EoT）之間使用傳統無加密無認證的無線射頻 RF 無線電通訊，僅依賴簡易的 BCH 校驗碼，缺乏強效的身份驗證機制。這導致駭客能透過低成本的軟體定義無線電（SDR）如HackRF發送偽造數據封包發動攻擊，在遠端輕易攔截、竄改或發送偽造的指令，進而威脅行車安全。

Q2：CVE-2025-1727 漏洞可能對鐵路營運造成最嚴重的具體後果是什麼？

A2：該漏洞最嚴重的威脅在於緊急煞車指令偽造風險。攻擊者若掌握特定頻率，可發送虛假的煞車訊號給列車控制系統，導致列車在高速行駛下突然緊急停駛。若攻擊者同步干擾多輛列車或在特定彎道處操作，將可能引發列車脫軌或大規模追撞意外。故，針對 OT 環境縱深防禦策略進行升級，已成為當前軌道產業的急迫任務。

Q3：針對此項高風險資安漏洞，鐵路產業目前的長期因應計畫為何？

A3：全球鐵路產業正推動「軌道關鍵基礎設施 Secure by Design」原則，從產品設計階段就導入安全機制。具體做法包括參與 AAR 鐵路通訊標準更新 2027 計畫，預計在 2027 年前全面汰換不具備加密能力的舊型模組，並要求供應商如 Wabtec 或 Siemens 必須通過最新的安全認證。此外在轉換過渡期間，建議營運商應先加強 VPN 存取控制與射頻頻譜監測，以降低短期被駭風險。台灣建議制定國內鐵路基礎設施網路安全防護標準，立即並主動審查現狀。

參考文獻：

資安防禦大作戰

鐵路煞車系統資安漏洞