7 Celah Ditemukan di RTU500 Hitachi Energy, Perangkat Pengendali Bendungan dan PLTU Terancam Lumpuh

CLB.my.id - Badan keamanan siber Amerika Serikat CISA merilis advisory terbaru yang mengungkap tujuh kerentanan pada perangkat RTU500 buatan Hitachi Energy. Perangkat ini dipakai secara luas di infrastruktur kritis seperti bendungan, pembangkit listrik, dan sistem pengolahan air di seluruh dunia. Jika dieksploitasi, serangan bisa menyebabkan sistem kontrol industri berhenti total.

Apa Itu RTU500 dan Mengapa Ini Penting?

RTU500 adalah Remote Terminal Unit, perangkat keras yang menjadi tulang punggung komunikasi dan pemantauan di infrastruktur energi. Unit ini menghubungkan sensor lapangan dengan sistem kontrol pusat di pembangkit listrik, bendungan, dan instalasi air limbah. Tanpa RTU yang berfungsi, operator kehilangan visibilitas terhadap kondisi operasional di lapangan.

Hitachi Energy, perusahaan yang berpusat di Swiss, mengidentifikasi tujuh kerentanan melalui tim internalnya. CISA kemudian menerbitkan ulang advisory tersebut pada 4 Juni 2026 dengan kode ICSA-26-155-04. Dampak utama yang diidentifikasi adalah denial of service, artinya perangkat bisa dipaksa berhenti beroperasi oleh penyerang.

Rincian Tujuh Kerentanan

Berdasarkan dokumen advisory CISA, tujuh kerentanan yang ditemukan mencakup berbagai jenis kelemahan pada parser XML dan pemrosesan data.

CVE-2025-69421 memiliki skor CVSS 6.5 dan memanfaatkan kelemahan null pointer dereference saat perangkat memproses file PKCS#12 yang dibuat khusus melalui unggahan web atau fungsi klien PKI. Kerentanan ini bisa menyebabkan perangkat crash.

CVE-2026-25210 menjadi yang paling serius dengan skor CVSS 7.8. Kerentanan ini memanfaatkan integer overflow pada parser XML yang menggunakan pustaka libexpat versi di bawah 2.7.4. Jika berhasil dieksploitasi, serangan tidak hanya bisa menghentikan perangkat tetapi juga berpotensi menjalankan kode dari jauh. Namun, kerentanan ini hanya aktif jika fitur IEC 61850 dikonfigurasi pada perangkat.

Empat kerentanan lainnya yaitu CVE-2026-24515, CVE-2026-32776, CVE-2026-32777, dan CVE-2026-32778 juga terkait parser XML libexpat dengan skor antara 2.5 hingga 5.5. Semuanya memerlukan konfigurasi IEC 61850 agar bisa dieksploitasi.

CVE-2026-8479 dengan skor 6.5 memanfaatkan null pointer dereference melalui pesan IEC 60870-5-104 yang dibuat khusus. Kerentanan ini memerlukan konfigurasi mode bidirectional BCI agar aktif.

Siapa yang Terdampak?

Produk yang terpengaruh adalah firmware CMU seri RTU500. CISA mencantumkan versi yang rentan mencakup 12.7.1 hingga 12.7.7, 13.5.1 hingga 13.5.4, 13.6.1 hingga 13.6.3, serta 13.7.1 hingga 13.7.8 dan versi 13.8.1. Perangkat ini digunakan di sektor bendungan, energi, dan air limbah dengan distribusi di seluruh dunia.

Bagi pembaca di Indonesia, relevansinya cukup tinggi. Pembangkit listrik dan bendungan besar di Tanah Air banyak menggunakan sistem SCADA dan RTU dari vendor internasional. Meskipun tidak ada konfirmasi spesifik bahwa instalasi di Indonesia menggunakan RTU500, pola penggunaan perangkat serupa di infrastruktur energi nasional membuat advisory ini layak dicermati oleh operator dan tim keamanan siber.

Patch dan Mitigasi

Hitachi Energy merekomendasikan pembaruan firmware ke versi 13.8.2 yang sudah menangani semua tujuh kerentanan. Alternatif lain adalah memperbarui ke versi 13.7.9 ketika tersedia, meskipun untuk CVE-2026-8479 diperlukan minimal versi 13.7.8.

Bagi operator yang belum bisa melakukan pembaruan segera, CISA menyarankan beberapa langkah mitigasi. Jaringan kontrol proses harus diisolasi dari jaringan bisnis dan internet menggunakan firewall dengan port seminimal mungkin. Akses jarak jauh harus menggunakan VPN yang terbaru. Perangkat kontrol juga tidak boleh digunakan untuk browsing web, email, atau pesan instan.

Perangkat penyimpanan portabel dan laptop yang akan dihubungkan ke jaringan kontrol wajib dipindai terlebih dahulu. Kontrol fisik terhadap akses ke ruang server dan perangkat kontrol juga harus diperketat.

Kronologi dan Status

Kerentanan ini pertama kali dipublikasikan oleh Hitachi Energy pada 26 Mei 2026. CISA kemudian menerbitkan ulang advisory tersebut pada 4 Juni 2026 dalam versi kedua. Tidak ada laporan eksploitasi aktif yang diketahui hingga saat ini, namun advisory ini menjadi peringatan bagi seluruh operator infrastruktur energi untuk segera memeriksa dan memperbarui perangkat mereka.