De Amerikaanse cybersecurityorganisatie Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het U.S. Department of Homeland Security, heeft een waarschuwing gepubliceerd voor een kritisch beveiligingslek in de veelgebruikte open-source PX4 Autopilot. Het lek kan ertoe leiden dat onbevoegden commando’s naar een drone sturen zonder dat daar enige vorm van authenticatie voor nodig is. Vooral bij professioneel ingezette drones kan dat risico’s opleveren voor de veiligheid en continuïteit van operaties.
Inhoudsopgave
Onbeveiligde communicatie als zwakke schakel
De kwetsbaarheid, geregistreerd als CVE-2026-1579, werd ontdekt door cybersecuritybedrijf CYVIATION en heeft een CVSS-score van 9,8 gekregen, wat duidt op een kritieke dreiging. Volgens de onderzoekers zit het probleem in de manier waarop communicatie met de drone standaard is ingericht, en niet in een specifieke hardwarefout. Daardoor is het lek in potentie wijdverspreid onder systemen die gebruikmaken van PX4.
De kern van het probleem ligt bij het communicatieprotocol MAVLink, dat wordt gebruikt voor de uitwisseling van data en commando’s tussen drone en grondstation. In de standaardconfiguratie ontbreekt cryptografische verificatie van berichten. Dat betekent dat een drone niet automatisch controleert of inkomende commando’s afkomstig zijn van een vertrouwde bron.
Wanneer de optionele beveiliging via MAVLink 2.0 message signing niet is ingeschakeld, kan een partij met toegang tot hetzelfde netwerk berichten injecteren. Daarbij gaat het niet alleen om vluchtinstructies, maar ook om diepgaande systeemtoegang via functies zoals SERIAL_CONTROL. In het slechtste geval kan een aanvaller zo de controle over het toestel overnemen tijdens de vlucht.
Breed toegepast in professionele drones
De impact van het lek wordt vergroot door het brede gebruik van PX4 binnen de drone-industrie. De software maakt deel uit van het ecosysteem van de Dronecode Foundation en wordt wereldwijd ingezet door fabrikanten, ontwikkelaars en operators.
Voorbeelden van drones en platforms die (deels) op PX4 draaien zijn onder meer de Yuneec H520, Parrot Anafi AI en Freefly Alta. Daarnaast vormt PX4 de basis voor tal van maatwerkoplossingen en ontwikkelplatformen. Juist omdat het platform veel wordt gebruikt in sectoren zoals inspecties, noodhulp en defensie, kunnen de gevolgen van misbruik aanzienlijk zijn.
Mitigerende maatregelen
Hoewel er vooralsnog geen gevallen bekend zijn waarbij het lek daadwerkelijk is misbruikt, adviseren zowel CISA als CYVIATION om niet af te wachten. Het probleem is relatief eenvoudig te verhelpen door de juiste beveiligingsmaatregelen te treffen.
Zo wordt operators aangeraden om MAVLink 2.0 message signing in te schakelen, zodat alleen geverifieerde berichten worden geaccepteerd. Daarnaast is het belangrijk om drones en grondstations af te schermen van publieke netwerken, bijvoorbeeld door gebruik te maken van firewalls en netwerksegmentatie. Voor externe toegang wordt het gebruik van up-to-date VPN-verbindingen aanbevolen.
Toenemende aandacht voor cybersecurity
De ontdekking van deze kwetsbaarheid onderstreept dat cybersecurity een steeds belangrijker aandachtspunt wordt binnen de dronesector. Naarmate drones vaker worden ingezet voor kritieke toepassingen en operaties buiten zicht (BVLOS), nemen ook de potentiële risico’s toe. De verwachting is dat er in de komende jaren vaker dit soort kwetsbaarheden aan het licht zullen komen, mede doordat gespecialiseerde partijen actief onderzoek doen naar de beveiliging van drone-ecosystemen.
