Недавнє відкриття серйозної вразливості в програмному забезпеченні PX4 Autopilot, яке широко використовується для управління дронами, викликало занепокоєння серед операторів дронів у США.
Фірма CYVIATION, що спеціалізується на кібербезпеці в авіації, виявила критичну вразливість у PX4 Autopilot, що є однією з найпопулярніших платформ для управління польотом дронів. Це питання настільки серйозне, що Агентство з кібербезпеки та інфраструктурної безпеки США (CISA) видало офіційне попередження, класифікуючи його як загрозу високого ризику.
Суть проблеми полягає в простій, але критичній деталі: відсутності належного рівня аутентифікації.
Згідно з CYVIATION, дрони, що працюють на PX4 Autopilot, за замовчуванням можуть не мати належної перевірки своїх комунікаційних каналів. Це означає, що немає вбудованого “цифрового підпису”, який підтверджує, що команди, надіслані дрону, є легітимними.
Це відкриває двері для найгіршого сценарію — зловмисник, підключений до тієї ж мережі, може ввести шкідливі команди і фактично захопити дрон під час польоту. Ми говоримо про повний контроль над навігацією, поведінкою та потенційно навіть системами на борту.
Вразливість, позначена як CVE-2026-1579, отримала майже максимальний бал за серйозністю — 9.8 з 10. Це одне з найсерйозніших питань у сфері кібербезпеки.
PX4 не є нішевим програмним забезпеченням. Воно є частиною більшої екосистеми з відкритим кодом, підтримуваної Dronecode під егідою Фонду Linux. Його широко використовують розробники, стартапи, дослідники та навіть підприємства, що експлуатують дрони. Це включає дрони, які використовуються в:
- Відповіді на надзвичайні ситуації
- Операціях з оборони та безпеки
- Комерційних інспекціях та логістиці
Хоча наразі не зафіксовано жодного реального випадку експлуатації, потенційний вплив величезний. Скомпрометований дрон у будь-якому з цих середовищ може призвести до порушень у роботі або, що ще гірше, до загроз безпеці.
Що повинні зробити оператори прямо зараз
Добра новина полягає в тому, що це не апаратний дефект. Його можна виправити за допомогою кращих налаштувань і практик безпеки. Як CYVIATION, так і CISA закликають операторів вжити термінових заходів:
1. Увімкніть цифрові підписи
Увімкніть підписування повідомлень MAVLink 2.0. Це забезпечить, що ваш дрон приймає команди лише від надійних джерел.
2. Забезпечте свою мережу
Тримайте дрони та їхні системи управління поза публічними інтернет-з’єднаннями. Використовуйте брандмауери та ізолюйте їх від більш широких бізнес-мереж.
3. Дотримуйтесь офіційних посібників з посилення безпеки
PX4 пропонує посібник з посилення безпеки з покроковими інструкціями. Зараз саме час його використовувати.
CISA також рекомендує мінімізувати мережеву експозицію для всіх систем управління та використовувати безпечні методи віддаленого доступу, такі як VPN, при цьому підтримуючи ці VPN у актуальному стані.
Це відкриття підкреслює ширшу тенденцію: оскільки дрони стають більш потужними, вони також стають більш привабливими цілями для кібератак. CYVIATION стверджує, що це лише початок. Компанія активно досліджує інші системи управління польотом і мережі дронів, що свідчить про можливі нові знахідки.
Протягом багатьох років індустрія дронів зосереджувалася на продуктивності — кращі камери, довший час польоту, розумніший ШІ. Але цей інцидент нагадує, що кібербезпека повинна йти в ногу з розвитком технологій. Якщо ви експлуатуєте дрони на базі PX4, це не те, що можна відкласти. Просте налаштування може стати різницею між безпечним польотом і скомпрометованим.
Цікавий факт
Вразливість у програмному забезпеченні дронів PX4 підкреслює важливість кібербезпеки в сучасному світі, де дрони використовуються в багатьох критичних сферах, таких як охорона здоров’я, безпека та логістика.
