Em 10 de julho de 2025, a Agência de Segurança Cibernética e Infraestrutura (CISA) dos Estados Unidos emitiu um alerta crítico sobre a vulnerabilidade CVE-2025-1727, que afeta os sistemas End-of-Train (EoT) e Head-of-Train (HoT), usados em trens de carga na América do Norte e em alguns trens de grande porte no Brasil. O protocolo de comunicação por rádio desses sistemas, conhecido como FRED (Flashing Rear-End Device), não possui autenticação ou criptografia, permitindo que atacantes usem equipamentos de rádio definidos por software (SDRs), custando menos de US$ 500, para enviar comandos falsos de frenagem. Essa falha, descoberta em 2012 pelos pesquisadores Neil Smith e Eric Reuter, pode causar paradas bruscas ou falhas nos freios, com risco de descarrilamentos e interrupções graves nas operações ferroviárias.
A CISA atribuiu à vulnerabilidade um índice de gravidade CVSS v4 de 7.2 e CVSS v3.1 de 8.1, classificando-a como de alto risco. O protocolo, mantido pela Associação de Ferrovias Americanas (AAR) por meio de seu Comitê de Padrões Eletrônicos de Ferrovias (RESC), depende de um checksum BCH para validação de pacotes, uma medida projetada para detectar erros acidentais, mas não ataques intencionais. Neil Smith, em um post no X em 11 de julho de 2025, revelou que alertou o Departamento de Segurança Interna (DHS) sobre a falha em 2012, mas a AAR inicialmente minimizou sua gravidade, exigindo provas reais de exploração, o que era inviável devido aos riscos. Smith destacou: “Você pode assumir o controle remoto do controlador de freios de um trem a longa distância, usando hardware que custa menos de US$ 500.”
A vulnerabilidade, conhecida pela AAR há pelo menos 13 anos, segundo registros do The Register, expõe uma falha sistêmica em sistemas de infraestrutura crítica. O protocolo EoT/HoT, implementado desde o final dos anos 1980 para substituir os vagões-caboose, transmite dados de telemetria e comandos de frenagem entre a locomotiva e o último vagão. A ausência de autenticação permite que qualquer pessoa com conhecimento do protocolo e um SDR crie pacotes fraudulentos, induzindo paradas emergenciais ou, em casos extremos, falhas de frenagem que podem levar a acidentes. Um incidente semelhante ocorreu na Polônia em agosto de 2023, quando saboteurs usaram transmissores básicos para interromper 20 trens, demonstrando a viabilidade de tais ataques.
No Brasil, os sistemas EoT/HoT são usados em trens de carga de grande porte, especialmente em operações de mineração e transporte de commodities, como nas linhas da Vale e da MRS Logística. Embora não haja registros públicos de exploração dessa vulnerabilidade no país, a CISA alerta que a falha é uma ameaça global, dado o uso generalizado do protocolo em equipamentos de fabricantes como Hitachi Rail STS USA, Wabtec e Siemens. A falta de criptografia e autenticação torna esses sistemas suscetíveis a ataques em qualquer região onde são empregados, incluindo o Brasil, onde a infraestrutura ferroviária é crucial para a economia.
A AAR anunciou em maio de 2025 que planeja substituir o protocolo vulnerável por um novo padrão, o IEEE 802.16t Direct Peer-to-Peer (DPP), com implementação inicial prevista para 2026. A transição exigirá a substituição de cerca de 25.000 dispositivos HoT e 45.000 EoT, com custos estimados entre US$ 7 e US$ 10 bilhões e um prazo de 5 a 7 anos, segundo Neil Smith. Até lá, a CISA recomenda medidas como isolar redes de controle, implementar firewalls, usar VPNs para acesso remoto e monitorar comandos de frenagem anômalos. Chris Butera, diretor assistente executivo de cibersegurança da CISA, afirmou em 10 de julho de 2025 que a exploração requer acesso físico às linhas férreas, conhecimento profundo do protocolo e equipamentos especializados, o que limita a viabilidade de ataques generalizados. Ainda assim, ele reconheceu a gravidade técnica da falha.
A demora da AAR em abordar o problema, apesar de alertas desde 2012, levanta preocupações sobre a segurança de infraestruturas críticas. Eric Reuter apresentou a vulnerabilidade na conferência DEF CON em 2018, mas a AAR só reconheceu a necessidade de ação após a pressão da CISA em 2024. A falta de evidências de exploração pública, conforme destacado pela CISA, não reduz a urgência, especialmente após incidentes como o da Polônia. A modernização do sistema é essencial, mas a lentidão na implementação expõe o setor a riscos contínuos.
Este alerta da CISA serve como um chamado à ação para operadores ferroviários no Brasil e no mundo. A vulnerabilidade CVE-2025-1727 expõe a fragilidade de sistemas legados em um cenário de ameaças cibernéticas crescentes. Como você avalia a segurança da infraestrutura ferroviária frente a essas vulnerabilidades? Compartilhe sua opinião nos comentários e acompanhe o Tutitech para mais atualizações sobre cibersegurança e tecnologia!
Fontes: CISA, The Register, Cybersecurity Dive, SecurityWeek, The Information