CCTV Brickcom Punya Celah Ganda, Penyerang Bisa Intip Video Live Tanpa Password

CLB.my.id - CISA mengungkap dua kerentanan kritis pada kamera CCTV buatan Brickcom yang memungkinkan penyerang mengakses video live tanpa autentikasi. Advisory ICSA-26-162-03 yang dirilis 11 Juni 2026 menunjukkan bahwa penyerang bahkan tidak perlu mengetahui password untuk mengambil alih kendali kamera dari jarak jauh.

Dua Celah yang Mengancam

Kerentanan pertama tercatat sebagai CVE-2026-50245 dengan skor CVSS 7.7. Celah ini berjenis missing authentication for critical function, yang berarti ada fitur penting yang sama sekali tidak dilindungi autentikasi. Melalui endpoint ONVIF pada kamera, siapa pun bisa mengambil gambar snapshot dari feed video tanpa perlu login atau memasukkan kredensial apa pun.

ONVIF sendiri adalah standar interoperabilitas untuk perangkat keamanan fisik berbasis IP. Standar ini seharusnya memudahkan integrasi antar perangkat dari vendor berbeda, tetapi dalam kasus ini justru menjadi pintu masuk bagi penyerang.

Kerentanan kedua adalah CVE-2026-50005, juga dengan skor CVSS 7.7. Celah ini berjenis use of default credentials, yang artinya kamera dikirim dari pabrik dengan kata sandi bawaan yang sudah diketahui publik. Penyerang tinggal memasukkan kredensial default tersebut untuk mendapat akses penuh ke perangkat.

Kedua celah ini saling melengkapi. Bahkan jika satu celah diperbaiki, celah lainnya tetap membuka peluang bagi penyerang. Kombinasi keduanya membuat kamera Brickcom sangat rentan terhadap serangan yang tidak memerlukan keahlian teknis tinggi.

Produk yang Terdampak

Empat model kamera Brickcom terkena dampak, semuanya dengan firmware versi 3.2.3.5.6. Model tersebut adalah Brickcom Cube, Brickcom Dome, Brickcom Bullet, dan Brickcom Box. Keempatnya mencakup berbagai jenis kamera keamanan yang umum dipasang di gedung perkantoran, gudang, toko ritel, dan rumah tinggal.

Brickcom adalah produsen perangkat keamanan IP yang berkantor pusat di Taiwan. Produk mereka digunakan di berbagai sektor infrastruktur kritis, termasuk fasilitas komersial, manufaktur, layanan keuangan, dan sektor kesehatan. Cakupan ini menjadikan dampak kerentanan ini cukup luas secara global.

Respons Vendor yang Mengecewakan

Salah satu aspek paling mencolok dari advisory ini adalah respons Brickcom. Menurut dokumen CISA, Brickcom tidak merespons permintaan koordinasi dari badan keamanan siber AS tersebut. CISA bahkan secara eksplisit menyarankan pengguna untuk menghubungi Brickcom langsung melalui portal pengajuan kasus mereka.

Sikap vendor yang tidak kooperatif dalam menangani kerentanan keamanan adalah tanda bahaya yang serius. Ketika vendor tidak merespons laporan kerentanan dari lembaga keamanan siber resmi, pengguna dibiarkan menghadapi risiko tanpa panduan remediasi yang jelas dari pihak yang paling memahami produknya.

CISA juga mencatat sebuah kontradiksi dalam advisory tersebut. Dokumen menyebutkan bahwa kerentanan ini tidak dieksploitasi secara remote, tetapi deskripsi teknisnya jelas menunjukkan adanya akses remote tanpa autentikasi. Ketidaksesuaian ini menambah kebingungan bagi pengguna yang mencoba memahami tingkat risiko sebenarnya.

Dampak bagi Pengguna

Ketika kamera keamanan bisa diakses tanpa izin, implikasinya sangat serius. Penyerang bisa mengamati aktivitas di dalam rumah, kantor, atau fasilitas sensitif secara real time. Informasi visual yang diperoleh bisa digunakan untuk perencanaan perampokan, pencurian identitas, atau pemerasan.

Di Indonesia, penggunaan CCTV untuk keamanan rumah dan bisnis terus meningkat. Banyak pengguna yang memasang kamera IP tanpa mengubah kata sandi default atau memperbarui firmware. Kasus ini menjadi pengingat bahwa kamera keamanan yang seharusnya melindungi justru bisa menjadi alat pengawasan bagi pihak yang tidak berwenang.

Langkah yang Perlu Diambil

Pertama, segera ubah kata sandi default pada semua kamera Brickcom yang terpasang. Gunakan kata sandi yang kuat dan unik untuk setiap perangkat. Kedua, isolasi kamera dari jaringan utama dengan menempatkannya di VLAN terpisah dan membatasi akses dari internet.

Ketiga, pantau portal kasus Brickcom untuk pembaruan firmware yang mungkin akan dirilis. Mengingat Brickcom belum merespons CISA, pengguna perlu proaktif mencari informasi. Keempat, pertimbangkan untuk menggunakan VPN saat mengakses kamera dari jarak jauh dan nonaktifkan akses langsung dari internet.

CISA juga mengingatkan agar semua perangkat kontrol sistem tidak boleh diakses langsung dari internet dan harus ditempatkan di belakang firewall. Prinsip keamanan berlapis tetap menjadi pertahanan terbaik ketika vendor tidak memberikan patch yang memadai.***