CCTV dan Smart Doorbell Naxclow Bisa Disadap Tanpa Login, CISA Temukan Celah Skor 9.8

CLB.my.id - CISA kembali mengumumkan advisory keamanan siber pada 11 Juni 2026, kali ini menargetkan platform IoT Naxclow yang mencakup smart doorbell, kamera keamanan rumah, dan berbagai perangkat pintar lainnya. Kerentanan yang ditemukan memiliki skor CVSS 9.8 dan memungkinkan penyerang menyadap komunikasi, mencuri kredensial secara massal, hingga mengambil alih perangkat tanpa perlu autentikasi.

Advisory dengan kode ICSA-26-162-02 ini mengungkap bahwa semua versi perangkat Naxclow terdampak, termasuk Smart Doorbell X3, Smart Home, V720, dan ix cam. Produk-produk ini dijual secara global dan umum digunakan sebagai sistem keamanan rumah tangga berbasis cloud.

Celah Apa yang Ditemukan?

Dua jenis kerentanan utama teridentifikasi pada platform Naxclow. Yang pertama adalah Authorization Bypass Through User-Controlled Key, sebuah celah yang memungkinkan penyerang melewati proses otorisasi dengan memanipulasi kunci identifikasi yang dikirim oleh pengguna. Dengan kata lain, penyerang bisa menyamar sebagai pengguna sah tanpa mengetahui kata sandi mereka.

Kerentanan kedua adalah Missing Authentication, artinya beberapa fungsi kritis pada platform sama sekali tidak memerlukan proses autentikasi. Kombinasi kedua celah ini menciptakan skenario serangan yang sangat berbahaya karena penyerang tidak perlu kredensial sama sekali untuk mengakses perangkat.

Dampak langsung dari eksploitasi kerentanan ini sangat luas. Penyerang bisa meniru identitas perangkat (device impersonation), mencegat atau memanipulasi komunikasi antara perangkat dan server, mengumpulkan kredensial sensitif dalam skala massal, dan mendapatkan akses tidak sah ke seluruh sistem.

Mengapa Ini Berbahaya untuk Pengguna Rumahan?

Produk Naxclow seperti Smart Doorbell X3 dan kamera keamanan V720 dipasarkan sebagai solusi keamanan rumah yang terjangkau dan mudah dipasang. Banyak pengguna memilih perangkat semacam ini karena harganya yang lebih murah dibandingkan merek ternama seperti Ring atau Arlo.

Namun, harga yang lebih murah sering kali berarti investasi keamanan siber yang lebih kecil pula. Celah yang ditemukan CISA menunjukkan bahwa platform Naxclow memiliki kelemahan fundamental dalam arsitektur keamanannya. Ketika sebuah smart doorbell bisa diakses tanpa autentikasi, siapa pun di jaringan yang sama atau bahkan dari internet bisa melihat siapa yang mengetuk pintu, mendengar percakapan, atau bahkan membuka kunci pintu pintar yang terhubung.

Untuk kamera keamanan seperti V720 dan ix cam, risikonya lebih serius. Penyerang bisa mengakses feed video secara real-time, melihat aktivitas di dalam rumah, dan mengumpulkan informasi tentang kebiasaan penghuni. Data ini bisa dimanfaatkan untuk perencanaan perampokan atau kejahatan lainnya.

Masalah Kredensial dalam Skala Massal

Salah satu aspek paling mengkhawatirkan dari advisory ini adalah kemampuan penyerang untuk mengumpulkan kredensial sensitif dalam skala massal. Hal ini mengindikasikan bahwa platform Naxclow menyimpan atau mentransmisikan data autentikasi dengan cara yang tidak aman.

Ketika kredensial bisa dikumpulkan secara massal, dampaknya tidak terbatas pada satu perangkat saja. Penyerang bisa menggunakan kredensial yang dicoba ulang (credential stuffing) untuk mengakses akun pengguna di platform lain jika pengguna memakai kata sandi yang sama.

Bagi pengguna Indonesia yang semakin banyak memasang smart doorbell dan kamera IoT di rumah, advisory ini menjadi peringatan keras. Memilih perangkat IoT tidak cukup hanya melihat fitur dan harga, tetapi juga rekam jejak keamanan siber produsennya.

Rekomendasi untuk Pengguna

CISA menyarankan pengguna untuk segera memeriksa apakah perangkat mereka termasuk dalam daftar yang terdampak. Jika ya, langkah pertama adalah memastikan firmware diperbarui ke versi terbaru jika tersedia. Jika produsen belum merilis patch, pengguna disarankan untuk membatasi akses jaringan ke perangkat tersebut.

Beberapa langkah praktis yang bisa dilakukan antara lain mengisolasi perangkat IoT di jaringan terpisah (VLAN atau guest network), mematikan fitur remote access jika tidak benar-benar diperlukan, dan mengganti kata sanda default dengan kombinasi yang kuat dan unik.

Pengguna juga disarankan untuk memantau lalu lintas jaringan yang keluar dari perangkat IoT. Jika terdapat koneksi ke server yang tidak dikenal atau lalu lintas yang tidak biasa, segera cabut perangkat dari jaringan dan laporkan ke produsen.

Advisory CISA ini menggarisbawahi pentingnya keamanan siber pada perangkat IoT konsumer. Perangkat yang dipasang untuk melindungi rumah justru bisa menjadi pintu masuk bagi penyerang jika tidak dikelola dengan benar.