Bel Pintar dan Kamera Naxclow Punya Celah Kritis CVSS 9.8, Peretas Bisa Kendalikan dari Jauh

CLB.my.id - Badan keamanan siber Amerika Serikat, CISA, baru saja merilis peringatan keras terhadap sejumlah perangkat IoT buatan Naxclow. Celah keamanan yang ditemukan pada bel pintar dan kamera rumah pintar perusahaan ini memiliki skor CVSS 9.8, level kritis yang menandakan kerentanan sangat serius dan bisa dieksploitasi dari jarak jauh tanpa autentikasi.

Perangkat yang terdampak mencakup Smart Doorbell X3, Smart Home, V720, dan ix cam. Semua model dan versi terpengaruh. Menurut advisory CISA dengan kode ICSA-26-162-02 yang dirilis 11 Juni 2026, eksploitasi celah ini bisa memungkinkan penyerang menyamar sebagai perangkat, menyadap atau memanipulasi komunikasi, mengumpulkan kredensial sensitif secara massal, hingga mendapat akses tidak sah ke sistem.

Apa Saja Celah yang Ditemukan?

CISA mengidentifikasi beberapa jenis kerentanan yang saling melengkapi, membuat serangan bisa dilakukan dari berbagai titik. Yang pertama adalah Authorization Bypass Through User-Controlled Key, sebuah celah yang memungkinkan penyerang melewati proses otorisasi dengan memanipulasi kunci yang seharusnya dikontrol oleh sistem. Celah ini memungkinkan akses langsung ke fungsi-fungsi yang seharusnya terproteksi.

Selain itu ditemukan juga celah Missing Authentication for Critical Function. Artinya, beberapa fungsi penting pada perangkat Naxclow sama sekali tidak memerlukan autentikasi. Siapa pun yang bisa mengakses perangkat melalui jaringan bisa langsung menggunakan fungsi-fungsi kritis tersebut tanpa perlu kata sandi atau verifikasi identitas.

Yang tidak kalah mengkhawatirkan adalah keberadaan hard-coded credentials, yaitu kata sandi atau kredensial yang tertanam langsung di dalam firmware perangkat. Kredensial semacam ini biasanya sama untuk semua unit yang diproduksi dan sulit diubah oleh pengguna biasa. Jika satu penyerang menemukan kredensial tersebut, ia bisa mengakses semua perangkat Naxclow di seluruh dunia yang menggunakan firmware serupa.

Mengapa Skor CVSS 9.8 Sangat Berbahaya?

Skor Common Vulnerability Scoring System (CVSS) 9.8 menempatkan celah ini di level kritis, skor tertinggi kedua setelah 10.0. Dalam konteks perangkat rumah pintar, ini berarti penyerang tidak perlu berada di jaringan yang sama dengan korban, tidak perlu interaksi dari pengguna, dan tidak memerlukan hak akses khusus untuk mengeksploitasi celah. Serangan bisa dilakukan sepenuhnya dari jarak jauh.

Bagi pengguna rumahan, implikasinya sangat nyata. Bel pintar yang seharusnya menjadi lapisan keamanan rumah justru bisa menjadi pintu masuk bagi penyerang. Kamera yang dipasang untuk memantau keamanan malah bisa diintip oleh orang asing. Data pribadi yang mengalir melalui perangkat IoT, termasuk video, audio, dan informasi jaringan rumah, berisiko besar disadap.

Siapa yang Terdampak?

Menurut CISA, perangkat Naxclow digunakan di berbagai sektor termasuk fasilitas komersial, manufaktur kritis, layanan keuangan, serta sektor kesehatan dan kesehatan masyarakat. Perangkat ini tersebar di seluruh dunia. Artinya, bukan hanya pengguna rumahan yang terancam, tetapi juga bisnis dan institusi yang mengandalkan kamera dan bel pintar Naxclow untuk keamanan operasional mereka.

Hingga advisory ini diterbitkan, CISA menyatakan belum ada laporan eksploitasi aktif yang diketahui publik. Namun, tingginya skor CVSS dan sifat celah yang bisa dieksploitasi dari jarak jauh membuat potensi serangan tetap sangat besar.

Apa yang Harus Dilakukan Pengguna?

CISA merekomendasikan beberapa langkah mitigasi yang bisa dilakukan segera. Pertama, pastikan perangkat IoT tidak bisa diakses langsung dari internet publik. Tempatkan perangkat di balik firewall dan lakukan segmentasi jaringan agar perangkat IoT terpisah dari jaringan utama yang menyimpan data sensitif.

Kedua, gunakan metode akses jarak jauh yang aman seperti VPN jika memang perlu mengakses perangkat dari luar jaringan rumah. Ketiga, perbarui firmware perangkat secara berkala. Meskipun advisory CISA belum menyebutkan patch spesifik dari Naxclow, menghubungi vendor langsung untuk menanyakan pembaruan keamanan adalah langkah yang bijak.

Pengguna juga disarankan untuk mengganti kata sandi default pada semua perangkat IoT, meskipun dalam kasus celah hard-coded credentials langkah ini mungkin tidak cukup karena kredensial tertanam di level firmware. Mengisolasi perangkat IoT di jaringan terpisah (VLAN atau guest network) adalah strategi terbaik untuk membatasi dampak jika perangkat berhasil dikompromikan.

Industri IoT Masih Belum Aman

Temuan ini menambah daftar panjang peringatan CISA terhadap perangkat IoT konsumen dan industri sepanjang 2026. Dari bel pintar hingga kamera keamanan, celah CVSS tinggi terus bermunculan karena produsen masih mengabaikan praktik keamanan dasar seperti autentikasi wajib, penghapusan kredensial default, dan tidak menanamkan kata sandi tetap di firmware.

Bagi konsumen Indonesia yang semakin banyak menggunakan perangkat pintar di rumah, advisory CISA ini menjadi pengingat penting bahwa keamanan perangkat IoT bukan hanya tanggung jawab produsen. Pengguna perlu proaktif memeriksa keamanan jaringan rumah, memisahkan perangkat IoT dari perangkat utama, dan selalu memperbarui firmware begitu pembaruan tersedia.***