概要
CISAは、PX4 Autopilotシステムにおける深刻な脆弱性について高優先度の警告を発表しました。この脆弱性により、悪意のある攻撃者が無人航空機(UAV)やドローンを完全に制御する可能性があります。
詳細
CVE-2026-1579と呼ばれるこの脆弱性は、Common Vulnerability Scoring System (CVSS) v3で9.8(最大10点)のスコアを獲得しています。これは、ドローンのフライトソフトウェアにおける「Missing Authentication for Critical Function」エラーによるものです。
攻撃の仕組み
PX4 Autopilotは、世界中でドローンや他の自律型車両を管理するために使用されている人気のあるオープンソースフライトコントロールソフトウェアです。この脆弱性は、ソフトウェアがMAVLinkインターフェースを通じた通信を処理する方法に存在します。
MAVLinkは、ドローンと地上制御ステーション間で命令やテレメトリーデータを送受信するために使用されるメッセージングプロトコルです。攻撃者は、このインターフェースへのアクセスを得ることで、セキュリティチェックをバイパスし、任意のシェルコマンドを実行することができます。
影響
この脆弱性は、輸送システムや緊急サービス、国防産業基盤など、高度に敏感な重要インフラ分野で広く使用されています。これらの環境での遠隔操作の成功により、監視データが盗まれたり、緊急対応活動が妨害されたり、防衛作戦が侵害される可能性があります。
影響を受けるバージョン
この脆弱性はPX4 Autopilotのv1.16.0_SITL_latest_stable版で確認されています。組織やオペレーターは、このオープンソースフライトコントロールソフトウェアを使用している場合、ネットワークアーキテクチャをレビューし、パッチが適用されるまでMAVLinkインターフェースへのアクセスを信頼できるネットワークとユーザーに制限する必要があります。
対策
CISAは、この脆弱性を発見し報告したセキュリティ研究者Dolev Aviv氏(サイビエーション社)から情報を得ています。ドローンオペレーターとPX4エコシステムに依存している組織は、公式のチャネルで更新を確認し、直ちに対策を講じて無効なアクセスからの保護を行うべきです。
元記事: https://gbhackers.com/critical-px4-autopilot-vulnerability/