Celah di Pengunci Pintu ABB Bisa Dibobol Tanpa Autentikasi, Bangunan Terancam Diakses Orang Asing
Celah di Pengunci Pintu ABB Bisa Dibobol Tanpa Autentikasi, Bangunan Terancam Diakses Orang Asing
CLB.my.id - Badan Keamanan Siber Amerika Serikat (CISA) merilis advisory terbaru yang mengungkap celah keamanan serius pada perangkat pengunci pintu buatan ABB. Produk bernama Busch-Welcome 2 Wire Door Opener Actuator, yang dipasang di gedung-gedung komersial di seluruh dunia, ternyata punya kode debug aktif yang bisa dimanfaatkan penyerang untuk membuka pintu tanpa autentikasi apa pun.
Celah ini tercatat dengan nomor CVE-2025-7705 dan mendapat skor CVSS 6.8 level medium. Meski skornya tidak termasuk kategori kritis, dampaknya tergolong serius karena memungkinkan akses fisik langsung ke dalam bangunan. Penyerang tidak butuh kredensial, tidak butuh interaksi pengguna, dan hanya perlu akses fisik ke perangkat untuk mengeksploitasi kelemahan ini.
Apa yang Salah di Busch-Welcome 2?
Masalahnya ada pada mode kompatibilitas yang secara default mengaktifkan kode debug. Dalam dunia perangkat lunak, kode debug adalah fitur yang biasanya hanya dipakai selama pengembangan atau pengujian. Kode semacam ini seharusnya tidak pernah aktif di produk yang sudah beredar di pasaran karena bisa membuka celah yang tidak diinginkan.
ABB mengidentifikasi dua model yang terdampak. Yang pertama adalah Switch Actuator 4 DU dengan nomor bagian 83330, dan yang kedua adalah Switch actuator, door/light 4 DU dengan nomor bagian 83330-500. Kedua model ini terdampak di semua versi firmware, artinya tidak ada versi yang aman tanpa tindakan perbaikan.
CVE-2025-7705 masuk dalam kategori CWE-489, yaitu Active Debug Code. Ini berarti kode debug yang seharusnya dinonaktifkan sebelum produk dijual ternyata masih menyala. Dalam konteks perangkat pengunci pintu, kode debug ini bisa membuka jalur bypass autentikasi sehingga siapa pun yang punya akses fisik ke perangkat bisa membuka pintu tanpa otorisasi.
Siapa yang Terdampak?
Perangkat Busch-Welcome 2 dipasang di sektor Commercial Facilities, mencakup gedung perkantoran, pusat perbelanjaan, hotel, dan berbagai fasilitas komersial lainnya. ABB menyebut produk ini sudah diterapkan secara global, artinya potensi dampaknya menyebar ke banyak negara termasuk Indonesia, di mana sistem kontrol akses bangunan pintar semakin banyak digunakan.
Bagi pengelola gedung di Indonesia yang memakai sistem ABB, advisory ini patut diwaspadai. Celah akses fisik berbeda dengan celah siber biasa yang bisa ditambal dari jarak jauh. Penyerang harus berada di lokasi fisik perangkat, tetapi begitu celah ini dieksploitasi, konsekuensinya langsung terasa: pintu terbuka tanpa izin.
Cara Memperbaiki
ABB tidak merilis patch firmware untuk masalah ini. Sebagai gantinya, vendor asal Swiss itu memberikan langkah perbaikan yang harus dilakukan langsung di lokasi pemasangan. Prosesnya cukup sederhana dan bisa dilakukan oleh teknisi bangunan tanpa peralatan khusus.
Langkah pertama, saat sistem Busch-Welcome masih beroperasi, pengelola perlu mengganti mode switch pada perangkat dari posisi Door-Open ke Light Mode. Tunggu satu detik, lalu kembalikan ke posisi Door-Open. Langkah kedua, lakukan power reset dengan mematikan dan menghidupkan kembali daya utama. Proses ini akan membuat sistem melakukan rekalibrasi saat boot-up dan secara otomatis memperbaiki konfigurasi yang salah.
ABB merekomendasikan perbaikan ini dilakukan sesegera mungkin. Meski serangan membutuhkan akses fisik, risiko tetap ada terutama di gedung-gedung dengan lalu lintas pengunjung tinggi.
Langkah Tambahan dari CISA
Selain perbaikan dari ABB, CISA juga mengimbau pengelola gedung untuk melakukan beberapa langkah keamanan tambahan. Pastikan instalasi sistem sesuai dengan panduan keamanan yang tertera di handbook produk. Minimalkan paparan jaringan untuk perangkat kontrol dan pastikan perangkat tidak bisa diakses dari internet.
Penempatan perangkat di balik firewall dan isolasi dari jaringan bisnis juga disarankan. Untuk kebutuhan akses jarak jauh, gunakan metode yang aman seperti VPN dan pastikan semua perangkat yang terhubung selalu diperbarui.
Advisory ini pertama kali dirilis oleh ABB PSIRT pada 21 Juli 2025 dan dipublikasikan ulang oleh CISA pada 28 Mei 2026 untuk meningkatkan visibilitas. Pengelola gedung yang memakai sistem Busch-Welcome disarankan segera memeriksa konfigurasi perangkat mereka sebelum celah ini dimanfaatkan oleh pihak yang tidak bertanggung jawab.***
