Badan Keamanan Cybersecurity dan Infrastructure (CISA) mengeluarkan penasihat minggu lalu memperingatkan bahwa sistem kereta utama dapat diretas menggunakan apa pun kecuali radio dan sedikit pengetahuan.
Kelemahannya berkaitan dengan protokol yang digunakan dalam sistem kereta yang dikenal sebagai akhir kereta dan kepala kereta. Perangkat ujung belakang yang berkedip (Fred), juga dikenal sebagai perangkat akhir-train (EOT), dilampirkan ke bagian belakang kereta dan mengirim data melalui sinyal radio ke perangkat yang sesuai di lokomotif yang disebut Kepala-Train (HOT). Perintah juga dapat dikirim ke Fred untuk menerapkan rem di bagian belakang kereta.
Perangkat ini pertama kali dipasang pada 1980 -an sebagai pengganti mobil caboose, dan sayangnya, mereka tidak memiliki protokol enkripsi dan otentikasi. Sebaliknya, sistem saat ini menggunakan paket data yang dikirim antara bagian depan dan belakang kereta yang menyertakan checksum BCH sederhana untuk mendeteksi kesalahan atau gangguan. Tapi sekarang, CISA memperingatkan bahwa seseorang yang menggunakan radio yang ditentukan perangkat lunak berpotensi mengirim paket data palsu dan mengganggu operasi kereta api.
“Keberhasilan eksploitasi kerentanan ini dapat memungkinkan penyerang untuk mengirim perintah kontrol rem sendiri ke perangkat akhir kereta, menyebabkan penghentian kereta secara tiba-tiba yang dapat menyebabkan gangguan operasi, atau menyebabkan kegagalan rem,” itu Cisa menulis dalam penasehatnya.
CISA memuji peneliti Neil Smith dan Eric Reuter karena melaporkan kerentanan ini kepada agensi.
Namun, Smith menulis dalam sebuah posting di X (sebelumnya Twitter) bahwa ia pertama kali memberi tahu sistem respon darurat sistem kontrol industri (ICS-CERT), yang sekarang menjadi bagian dari CISA, risiko pada 2012 dan tidak ada tindakan yang diambil untuk mengatasi masalah tersebut pada saat itu.
“Jadi seberapa buruk ini? Anda bisa mengambil kendali dari jarak jauh atas pengontrol rem kereta dari jarak yang sangat jauh, menggunakan perangkat keras yang harganya sub $ 500. Anda dapat menyebabkan kegagalan rem yang menyebabkan penggelinciran atau Anda dapat mematikan seluruh sistem kereta api nasional, ” Smith menulis di x.
Menurut Smith, ada kebuntuan antara ICS-CERT dan Association of American Railroads (AAR) antara 2012 dan 2016. Dia mengklaim bahwa AAR menemukan risikonya terlalu teoretis dan membutuhkan bukti bahwa itu sebenarnya bisa terjadi di dunia nyata sebelum mengambil tindakan.
Pada tahun 2024, Smith mengangkat masalah ini lagi dengan agensi. Smith menulis di X bahwa AAR masih merasa masalah itu bukan masalah besar, tetapi pada bulan April, kelompok industri mengumumkan bahwa akhirnya akan dimulai Meningkatkan sistem yang sudah ketinggalan zaman pada tahun 2026.
Penjabat Asisten Direktur Eksekutif untuk Cybersecurity Chris Butera meremehkan risiko saat ini yang berasal dari kerentanan EOT dalam sebuah pernyataan yang diemail ke Gizmodo.
“Kerentanan akhir-kereta (EOT) dan kepala-kereta (panas) telah dipahami dan dipantau oleh para pemangku kepentingan sektor kereta api selama lebih dari satu dekade,” tulis Butera. “Untuk mengeksploitasi masalah ini, aktor ancaman akan membutuhkan akses fisik ke jalur kereta api, pengetahuan protokol yang dalam, dan peralatan khusus, yang membatasi kelayakan eksploitasi yang meluas – terutama tanpa kehadiran besar yang didistribusikan di AS”
Butera menambahkan bahwa CISA bekerja dengan mitra industri tentang strategi mitigasi dan mengkonfirmasi bahwa perbaikan sedang dalam perjalanan.
AAR tidak segera menanggapi permintaan komentar dari Gizmodo.
RisalahPos.com Network
