CCTV CP Plus Punya Celah XSS Kritis, Peretas Bisa Kendalikan Rekaman dari Jauh
CLB.my.id - Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) merilis advisory terbaru yang mengungkap kerentanan kritis pada perangkat perekam jaringan (NVR) buatan CP Plus, produsen sistem pengawasan asal India yang produknya banyak dipakai di gedung komersial, fasilitas manufaktur, dan layanan darurat di berbagai negara.
Kerentanan yang diberi kode CVE-2026-6824 ini berjenis stored cross-site scripting (XSS) dengan skor CVSS v3.1 sebesar 8,4 dalam kategori tinggi. Celah ini ditemukan pada model CP-UNR-108F1, sebuah NVR 8 channel yang umum digunakan di lingkungan bisnis dan industri.
Apa Itu Stored XSS dan Mengapa Berbahaya
Stored XSS adalah jenis kerentanan di mana kode jahat yang disuntikkan oleh penyerang tersimpan secara permanen di dalam perangkat target. Saat administrator atau pengguna yang terautentikasi mengakses halaman yang terinfeksi, skrip jahat itu langsung dieksekusi di browser mereka.
Dampaknya serius. Penyerang bisa mencuri sesi administrator, menjalankan aksi tidak sah dengan hak akses korban, mengekspos atau memanipulasi data sensitif, dan menurunkan integritas sistem secara keseluruhan. Dalam konteks sistem CCTV, ini berarti peretas berpotensi mengakses, menghapus, atau memanipulasi rekaman pengawasan tanpa sepengetahuan pemilik sistem.
Detail Teknis Kerentanan
Kerentanan ini berada pada firmware perangkat dengan detail versi sebagai berikut. Hardware version V1.0, web version V3.2.7.128806, dan system version V4.001.00AT009.0.R. Masalahnya berasal dari sanitasi input yang tidak memadai pada antarmuka web perangkat, sehingga penyerang bisa menyuntikkan skrip berbahaya yang kemudian disimpan dan dieksekusi berulang kali.
CVE-2026-6824 masuk dalam kategori CWE-79 (Improper Neutralization of Input During Web Page Generation), yang merupakan salah satu jenis kerentanan paling umum namun tetap sangat berbahaya di perangkat IoT dan sistem pengawasan.
CP Plus telah merilis patch firmware baru dengan nomor CP-UNR-AxxxMars_PN_15_Q_00_V1.00.14.01.T.260326. Pengguna disarankan mengunduh pembaruan dari tautan resmi yang disediakan CP Plus atau menghubungi tim dukungan mereka di nomor telepon +91-8800952952.
Siapa yang Terdampak
Produk CP Plus banyak digunakan di India, Nepal, Uni Emirat Arab, dan Gambia. Namun mengingat merek ini cukup populer di pasar Asia Tenggara dan Afrika, potensi dampaknya bisa lebih luas. Sektor yang paling rentan termasuk fasilitas komersial, manufaktur kritis, dan layanan darurat yang mengandalkan sistem pengawasan berbasis NVR untuk operasional harian mereka.
Kerentanan ini dilaporkan ke CISA oleh peneliti keamanan Jithin Nambiar J. Hingga advisory ini diterbitkan, belum ada laporan eksploitasi aktif yang diketahui publik. Namun mengingat skor CVSS yang tinggi dan sifat perangkat yang terhubung ke jaringan, administrator sistem disarankan segera memperbarui firmware.
Rekomendasi untuk Pengguna dan Administrator
CISA merekomendasikan beberapa langkah mitigasi tambahan selain pembaruan firmware. Pertama, minimalkan paparan jaringan untuk semua perangkat sistem kontrol dan pastikan tidak bisa diakses dari internet secara langsung. Kedua, letakkan perangkat di balik firewall dan isolasi dari jaringan bisnis utama.
Ketiga, gunakan metode akses jarak jauh yang lebih aman seperti VPN yang selalu diperbarui. Keempat, lakukan analisis dampak dan penilaian risiko sebelum menerapkan langkah defensif. Terakhir, tingkatkan kesadaran terhadap rekayasa sosial dan hindari membuka tautan atau lampiran dari email yang tidak dikenal.
Pelajaran untuk Ekosistem IoT Indonesia
Temuan ini menjadi pengingat penting bagi pengguna sistem pengawasan di Indonesia. Banyak bisnis dan institusi yang mengandalkan perangkat CCTV tanpa rutin memperbarui firmware atau memeriksa advisory keamanan dari vendor. Celah pada perangkat pengawasan bisa menjadi pintu masuk bagi penyerang untuk mengakses seluruh jaringan internal, terutama jika NVR terhubung ke jaringan yang sama dengan sistem bisnis kritis lainnya.***
