无人机的「裸奔」时代，PX4 飞控 MAVLink 协议零认证漏洞

事件概述

2026年3月31日，美国网络安全和基础设施安全局（CISA）发布了一份针对PX4 Autopilot飞控软件的工业控制系统安全公告。公告披露了一个编号为CVE-2026-1579的严重漏洞，其CVSS v3.1评分高达9.8分。问题的核心简单到令人不安：PX4无人机使用的MA VLink通信协议，在默认配置下竟然不做任何身份认证。这意味着，只要攻击者能够接触到无人机的MA VLink通信接口，就可以直接发送指令，获取飞控系统的Shell权限，从而实现对无人机的完全接管。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

这并非一个需要复杂利用链或高超技术手段的漏洞。说得直白些，这好比你家的大门不仅没上锁，门上还贴着一张“欢迎光临”的纸条。

该漏洞由以色列航空网络安全公司Cyviation的研究员Dolev A viv发现，并已遵循负责任的披露流程报告给CISA。根据CISA的公告，目前尚未有已知的在野利用报告。然而，该漏洞波及范围广泛，可能影响全球交通运输、应急服务及国防工业基础等关键领域的无人机设施。

核心事实

漏洞本质： 该漏洞的根源在于MA VLink协议默认未启用密码学身份验证功能，其漏洞类型被归类为CWE-306，即关键功能缺少认证。当MA VLink 2.0的消息签名功能处于关闭状态时，任何能够访问MA VLink接口的实体，都可以发送包括SERIAL_CONTROL在内的任意指令消息，进而获得飞控底层操作系统的交互式Shell访问权限。

CVSS评分： 该漏洞的CVSS v3.1评分为9.8分（严重级别），评分向量为CVSS:3.1/A V:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H。这表明攻击可以通过网络发起（A V:N），攻击复杂度低（AC:L），无需任何权限（PR:N）和用户交互（UI:N），并对系统的机密性、完整性和可用性均构成高度影响。

受影响版本： CISA公告明确列出的受影响版本为PX4 Autopilot v1.16.0_SITL_latest_stable。但需要特别注意的是，MA VLink默认不认证是协议层面的设计选择，而非某个特定版本的代码缺陷。因此，从理论上讲，所有未启用消息签名功能的PX4部署，都面临着相同的安全风险。

缓解机制： PX4实际上已经实现了MA VLink 2.0的消息签名功能，该功能通过参数MA V_SIGN_CFG进行控制。其默认值为0（禁用）；推荐设置为1（除USB链路外强制签名）或2（全链路强制签名）。启用后，所有MA VLink 2.0消息都将附加一个基于SHA-256算法的13字节签名，未签名或签名无效的消息将在协议层直接被拒绝（仅RADIO_STATUS、ADSB_VEHICLE、COLLISION等少数消息类型可豁免）。签名密钥通过SETUP_SIGNING消息进行设置，出于安全考虑，该消息仅接受通过USB链路发送。密钥最终会存储在SD卡的/ma vlink/ma vlink-signing-key.bin文件中（一个40字节的二进制文件）。

未启用签名时的暴露面： 在未启用签名的情况下，攻击者一旦接入MA VLink接口，便可执行Shell命令、读写文件系统、修改关键飞行参数、上传恶意飞行任务、控制电机上锁/解锁，甚至触发飞行终止程序。

在野利用状态： 截至公告发布日（2026年3月31日），CISA及公开情报来源均未报告任何已知的在野利用实例。

攻击路径

典型的攻击路径可以清晰地描绘为：初始访问（通过相邻的无线电网络、未加密的Wi-Fi遥测链路，或被入侵的地面控制站接入MA VLink通信接口）→ 命令执行（注入未签名的SERIAL_CONTROL MA VLink消息）→ 权限提升（直接获取无人机底层操作系统的交互式Shell）→ 持久化/横向移动（修改飞行参数、上传恶意任务、控制飞行逻辑）→ 最终影响（执行任意系统命令、触发拒绝服务导致坠机、窃取数据或造成物理破坏）。

这条攻击路径完全依赖于“未启用消息签名”这一默认配置，无需利用其他0day漏洞或窃取凭证，攻击者只需要具备链路可达性（例如能接入遥测无线电、Wi-Fi网络或串口）。关键在于，SERIAL_CONTROL消息提供的并非简单的遥测数据读取权限，而是完整的交互式Shell命令执行能力。

以常见的遥测电台（如433MHz或915MHz频段）场景为例，攻击者仅需一个同频段的无线电模块和一台电脑即可发起攻击。事实上，早在2015年，shellIntel团队就曾用树莓派演示过如何通过MA VLink劫持基于Pixhawk的无人机。而对于通过IP网络（如Wi-Fi或蜂窝网络）暴露MA VLink接口的场景，攻击面则更为广阔。即便底层射频链路部署了专有加密，如果攻击者事先通过钓鱼等手段控制了合法的地面控制站，同样可以利用此漏洞，绕过飞控系统本身的权限控制机制。

深度研判

(1) 为什么这件事比看上去更严重？

首先，PX4是全球无人机生态中最重要的开源飞控软件之一，其市场影响力不容小觑。它起源于2008年苏黎世联邦理工学院，现由Linux基金会旗下的Dronecode基金会托管，并采用宽松的BSD-3许可证。这意味着商业公司可以自由地将PX4集成到自家产品中，而无需公开其修改后的源代码。根据市场研究数据，全球PX4兼容飞控市场预计到2028年将达到48亿美元规模。

由此引出一个关键问题：在BSD-3许可证下，大量商业衍生产品的安全配置状态对外界而言是一个无法审计的“黑箱”。MA VLink协议的设计初衷是为了满足轻量级的开发与测试需求，而生产环境中的操作技术/无人机场景，则需要对抗无线链路的窃听与指令注入攻击，两者之间存在根本性的设计张力。CISA将此漏洞列入工业控制系统安全公告，本身就表明监管机构已将其视为高危的操作技术风险。

综合来看，可以推断出一个严峻的结论：大量基于PX4的商业无人机部署，很可能继承了默认不启用签名的配置，且终端用户对此可能完全不知情。这并非传统的“代码漏洞”，而是典型的“安全功能未默认开启”所引发的供应链与集成风险。在实际部署中，若未主动将MA V_SIGN_CFG参数设置为≥1并完成密钥配置，整个系统就处于可被远程完全接管的临界状态。

(2) 版本影响范围

CISA公告仅明确列出了v1.16.0_SITL_latest_stable版本受影响，但并未说明其他PX4版本（如v1.15.x、v1.14.x或主线开发版本）的默认行为是否一致。如果早期版本同样默认禁用了签名功能，那么实际的影响范围将远大于公告目前所述。补齐这一信息缺口，对于精确划定需要升级或采取缓解措施的范围至关重要，否则集成商和用户很可能低估历史版本所面临的风险。

(3) 在野利用状态

目前，关于该漏洞在现实环境中被恶意利用的遥测数据和事件报告仍然缺失。这是一个需要持续监控的动态指标。一旦发现有高级持续性威胁组织将其用于真实攻击，将直接改变该漏洞的风险定级，并很可能导致其被列入CISA的“已知被利用漏洞”目录，从而迫使相关厂商加速固件的强制升级进程。