漏洞概述 PX4 Autopilot 的 MAVLink 接口存在安全漏洞。成功利用此漏洞的攻击者,在拥有 MAVLink 接口访问权限的情况下,可以在无需加密认证的情况下执行任意 shell 命令。 影响范围 受影响版本: PX4 Autopilot v1.16.0_STL_latest_stable CVE ID: CVE-2026-1579 CVSS 评分: v3 9.8 厂商: PX4 设备: PX4 Autopilot 漏洞类型: 关键功能缺少认证 (Missing Authentication for Critical Function) 背景信息: 关键基础设施部门: 交通系统、应急服务、国防工业基础 部署区域: 全球范围 公司总部: 瑞士 修复方案与防御建议 CISA 建议采取以下防御措施以最小化漏洞被利用的风险: 1. 最小化网络暴露: 确保所有控制系统设备及其系统不可从互联网直接访问。 2. 网络隔离: 将控制系统网络和远程设备置于防火墙之后,并将其与业务网络隔离。 3. 安全远程访问: 当需要远程访问时,使用更安全的协议(如虚拟专用网络 VPN),并更新到最新可用版本。 4. 风险评估: 在部署防御措施之前,进行适当的冲击分析和风险评估。 5. 参考最佳实践: 参考 CISA ICS 网页上的网络安全最佳实践,以及 ICS-TIP-12-146-01B 技术信息文件。 6. 防范社会工程: 不要点击未请求电子邮件中的链接或附件。 7. 监控与报告: 组织应遵循既定的内部程序,向 CISA 报告可疑的恶意活动。 注: 截至目前,尚未发现针对此漏洞的公开利用代码。