CISA警告：严重VizAir漏洞（CVSS 10.0）暴露机场气象系统于未授权操纵风险

网络安全和基础设施安全局（CISA）发布紧急公告，详细说明了Radiometrics VizAir航空天气监测系统中存在的三个漏洞，警告称利用这些漏洞可能允许攻击者操纵气象数据和跑道配置，可能导致危险飞行条件。

根据公告，“成功利用这些漏洞可能允许攻击者操纵关键气象参数和跑道设置，误导空中交通管制和飞行员，提取敏感气象数据，并对机场运营造成重大干扰，导致危险飞行条件。”

这些被追踪为CVE-2025-61945、CVE-2025-54863和CVE-2025-61956的漏洞，每个都获得了CVSS v3.1基础评分10.0分，这是可能的最高严重性评级，强调了如果被利用可能造成的灾难性后果。

受影响的产品Radiometrics VizAir（2025年8月之前版本）是一个专业的大气监测平台，部署在全球机场气象系统中。VizAir提供风切变、逆温、对流可用势能（CAPE）以及其他用于飞行规划和跑道管理的参数的实时数据。

第一个漏洞（CVE-2025-61945）源于对VizAir管理面板的未授权访问，允许攻击者直接修改或禁用安全关键数据馈送。

“Radiometrics VizAir容易受到任何远程攻击者的攻击，无需认证即可访问VizAir系统的管理面板。一旦进入，攻击者可以修改关键气象参数，如风切变警报、逆温深度和CAPE值，”CISA写道。“这种未经授权的访问可能导致重要警报被禁用，为飞机造成危险条件，并操纵跑道分配，可能导致空中冲突或跑道侵入。”

第二个缺陷（CVE-2025-54863）涉及VizAir配置文件中保护不足的凭据，这些文件可以在没有身份验证的情况下远程访问。

“Radiometrics VizAir容易通过公开可访问的配置文件暴露系统的REST API密钥。这允许攻击者远程更改天气数据和配置，自动化针对多个实例的攻击，并提取敏感气象数据，”公告指出。“此外，攻击者可能用虚假警报淹没系统，导致拒绝服务状况和对机场运营的重大干扰。”

第三个漏洞（CVE-2025-61956）与第一个类似，但扩展到API级访问，允许远程参与者操纵发送到空中交通管制系统的实时配置和遥测数据。

“Radiometrics VizAir容易受到关键功能（如管理员访问和API请求）缺乏认证机制的影响，”CISA警告。“攻击者可以在没有认证的情况下修改配置，可能操纵活动跑道设置并误导空中交通管制（ATC）和飞行员。”

Radiometrics已发布更新解决所有三个漏洞。运行VizAir系统的用户应验证其软件已更新到2025年8月或更高版本，并确保所有实例都与公共网络隔离，并受到强认证机制的保护。