7 Celah di Pengendali PLTA dan Bendungan Ditemukan, Satu Bisa Eksekusi Kode dari Jauh

CISA dan Hitachi Energy mengungkap 7 kerentanan di firmware RTU500, perangkat yang mengontrol infrastruktur energi, air, dan bendungan di seluruh dunia.

CLB.my.id - Badan Keamanan Siber AS (CISA) merilis advisory baru pada 4 Juni 2026 yang mengungkap tujuh kerentanan di firmware RTU500, produk Remote Terminal Unit (RTU) buatan Hitachi Energy yang dipasang di pembangkit listrik, bendungan, dan instalasi air limbah di seluruh dunia. Satu di antaranya memiliki skor CVSS 7.8 dan berpotensi memungkinkan penyerang mengeksekusi kode dari jarak jauh.

RTU500 bukan perangkat sembarangan. Alat ini berfungsi sebagai otak pengendali jarak jauh di infrastruktur kritis. Ia mengumpulkan data sensor dari lapangan lalu mengirimkannya ke pusat kontrol. Jika RTU lumpuh, operator bisa kehilangan kendali atas pompa air, turbin pembangkit, atau pintu air bendungan. Dengan distribusi global yang mencakup sektor energi, air, dan bendungan, dampak kerentanan ini bukan hal yang bisa dianggap remeh.

Kerentanan Paling Berbahaya: Integer Overflow di libexpat

Dari tujuh celah yang ditemukan, CVE-2026-25210 menempati posisi paling kritis dengan skor 7.8 dalam skala CVSS v3.1. Kerentanan ini berupa integer overflow di pustaka libexpat yang digunakan untuk memproses data XML pada protokol IEC 61850. Jika dieksploitasi, penyerang bisa menjalankan kode secara lokal, mengakses data rahasia, bahkan mengubah konfigurasi perangkat.

Vektor serangannya adalah melalui pemrosesan XML yang dibuat khusus. Penyerang yang sudah memiliki akses lokal ke jaringan kontrol bisa mengirim payload berbahaya lewat protokol IEC 61850, dan jika berhasil, ia mendapat kendali penuh atas unit RTU yang bersangkutan.

Namun ada syaratnya. Celah ini hanya aktif jika fitur IEC 61850 dikonfigurasi di perangkat. IEC 61850 sendiri adalah standar komunikasi yang sangat umum dipakai di sistem otomasi gardu listrik dan instalasi energi terbarukan. Artinya, sebagian besar instalasi modern kemungkinan besar mengaktifkan fitur ini.

Enam Celah Lainnya Tetap Mengancam

Enam kerentanan lainnya memiliki skor lebih rendah, antara 2.5 hingga 6.5, namun semuanya berujung pada denial of service (DoS). Penyerang bisa memicu crash pada perangkat dengan mengirimkan pesan XML yang dibuat khusus, mengunggah sertifikat PKCS#12 yang rusak, atau memanfaatkan mode bidirectional IEC 60870-5-104.

CVE-2026-32776, CVE-2026-32777, dan CVE-2026-32778 adalah trio celah null pointer dereference dan infinite loop yang semuanya menyerang lewat IEC 61850. CVE-2025-69421 menyerang lewat unggahan file PKCS#12 yang tidak valid dengan skor 6.5. CVE-2026-8479 juga ber-skor 6.5 dan menyerang lewat IEC 60870-5-104 mode bidirectional.

Meskipun keenamnya “hanya” mengakibatkan DoS, dalam konteks infrastruktur kritis, kehilangan akses ke unit kontrol selama beberapa menit saja sudah bisa memicu gangguan layanan yang berdampak luas ke masyarakat.

Firmware yang Terdampak dan Perbaikan

Hitachi Energy mengonfirmasi bahwa firmware RTU500 series CMU yang terdampak mencakup versi 12.7.1 hingga 12.7.7, 13.5.1 hingga 13.5.4, 13.6.1 hingga 13.6.3, 13.7.1 hingga 13.7.8, dan versi 13.8.1. Perangkat ini dipasang di sektor bendungan, energi, serta air dan pengolahan limbah, dengan distribusi global. Kantor pusat Hitachi Energy berada di Swiss.

Perbaikan sudah tersedia. Hitachi Energy merekomendasikan pembaruan ke firmware versi 13.8.2. Untuk sistem yang masih berjalan di cabang 13.7.x, tersedia versi 13.7.9 yang akan segera dirilis.

Mitigasi untuk Operator

Selain memperbarui firmware, CISA mengimbau operator untuk menerapkan sejumlah langkah mitigasi. Pertama, segmentasi jaringan harus diperketat. Perangkat kontrol tidak boleh terhubung langsung ke internet. Kedua, jaringan kontrol harus dipisahkan dari jaringan bisnis menggunakan firewall. Ketiga, akses jarak jauh harus menggunakan VPN yang sudah diperbarui ke versi terbaru.

CISA juga menyarankan pemindaian semua media removable sebelum dicolokkan ke sistem kontrol, penerapan kebijakan kata sandi yang kuat, dan mengikuti praktik terbaik keamanan siber sistem kontrol industri (ICS) dari CISA.

Siapa yang Melaporkan?

Seluruh kerentanan ini ditemukan oleh tim internal Hitachi Energy sendiri, bukan oleh peneliti keamanan independen. Advisory awal dirilis oleh Hitachi Energy PSIRT (nomor 8DBD000252) pada 26 Mei 2026, lalu dipublikasi ulang oleh CISA pada 4 Juni 2026.

Bagi operator infrastruktur kritis di Indonesia yang menggunakan produk Hitachi Energy, advisory ini layak direspons segera. RTU500 banyak dipakai di pembangkit listrik tenaga air dan instalasi pengolahan air, dua sektor yang sangat krusial bagi layanan publik.***