Celah XSS Bangunan Pintar ABB Terungkap, Peretas Bisa Ambil Alih Sistem Tanpa Login

Kerentanan CVSS 8.0 di ABB EIBPORT memungkinkan akses tanpa autentikasi ke sistem manajemen gedung berbasis KNX.

CLB.my.id - CISA kembali merilis advisory keamanan siber untuk perangkat sistem kontrol industri. Kali ini giliran ABB EIBPORT, sebuah perangkat manajemen gedung berbasis standar KNX yang banyak dipakai di gedung komersial dan fasilitas manufaktur di seluruh dunia. Kerentanan yang ditemukan memiliki skor CVSS 8.0 dan bisa dimanfaatkan penyerang untuk mengakses informasi sensitif serta mengubah konfigurasi perangkat tanpa perlu login.

Advisory ICSA-26-148-03 yang dirilis pada 28 Mei 2026 ini mengungkap satu celah dengan nomor CVE-2021-22291. Meski nomor CVE-nya terlihat lama, advisory baru dipublikasi ulang oleh CISA karena perangkat ini masih banyak beredar dan risikonya belum sepenuhnya dipahami oleh operator gedung.

Apa Itu EIBPORT?

EIBPORT adalah perangkat otomasi gedung yang berfungsi sebagai pusat kendali untuk sistem berbasis KNX, standar komunikasi yang umum dipakai untuk mengatur pencahayaan, HVAC (pemanas, ventilasi, dan pendingin udara), tirai jendela, serta keamanan fisik di gedung modern. Perangkat ini diproduksi oleh ABB, perusahaan teknologi multinasional asal Swiss yang produknya tersebar di sektor manufaktur kritis dan teknologi informasi di seluruh dunia.

Model yang terdampak meliputi EIBPORT V3 KNX dengan nomor bagian 2CLA963710W1001 dan 2CSM256242R2001, serta EIBPORT V3 KNX GSM dengan nomor bagian 2CLA963720W1001. Semua versi firmware sebelum 3.9.2 terdampak.

Celah Session Management yang Berbahaya

Masalah inti ada di manajemen sesi perangkat. Menurut advisory CISA, EIBPORT gagal menjaga keamanan session ID dengan benar. Akibatnya, penyerang bisa mendapatkan salinan session ID dan menggunakannya untuk masuk ke antarmuka web perangkat tanpa perlu kredensial.

Ini bukan sekadar celah teori. Dengan session ID yang bocor, penyerang tinggal membuka browser, menempelkan ID tersebut, dan langsung mendapat akses penuh ke panel kontrol gedung. Tidak perlu kata sandi, tidak perlu exploit yang rumit.

Setelah berhasil masuk, penyerang bisa mengakses informasi sensitif yang tersimpan di dalam perangkat dan mengubah konfigurasinya. Dalam konteks gedung pintar, ini berarti penyerang bisa mematikan sistem pencahayaan, mengubah suhu ruangan, membuka kunci pintu, atau bahkan menonaktifkan sistem keamanan. Semua dilakukan dari jarak jauh tanpa jejak yang mudah dilacak.

Skor CVSS 8.0 mencerminkan betapa seriusnya celah ini. Meskipun secara teknis membutuhkan interaksi pengguna (user interaction), eksploitasi bisa dilakukan secara remote jika perangkat terpapar ke jaringan yang tidak tepercaya.

ABB Temukan Pelanggaran Praktik Keamanan

Satu temuan menarik dari advisory ini adalah pengakuan ABB bahwa beberapa pelanggan mereka ternyata memasang EIBPORT langsung ke internet. Ini jelas melanggar praktik terbaik keamanan ICS. Perangkat manajemen gedung seharusnya tidak pernah bisa diakses dari luar jaringan lokal.

ABB sendiri mengklasifikasikan EIBPORT bukan sebagai perangkat keselamatan fungsional, artinya kegagalan perangkat ini tidak langsung mengancam jiwa. Namun, akses tanpa izin ke sistem manajemen gedung tetap bisa menciptakan risiko keamanan fisik yang signifikan, terutama di gedung perkantoran, rumah sakit, atau fasilitas publik yang mengandalkan otomasi untuk operasional sehari-hari.

Perbaikan dan Mitigasi

ABB sudah merilis firmware versi 3.9.2 yang menambal celah ini. Perusahaan merekomendasikan pelanggan untuk memperbarui firmware sesegera mungkin. Proses pembaruan bisa dilakukan melalui antarmuka web perangkat, namun pastikan jaringan dalam kondisi aman sebelum memulai proses update.

Selain itu, operator gedung diminta memverifikasi konfigurasi jaringan mereka. EIBPORT tidak boleh terhubung langsung ke internet atau jaringan yang tidak tepercaya. Perangkat harus ditempatkan di belakang firewall dan dipisahkan dari jaringan bisnis.

CISA juga mengingatkan bahwa akses remote ke perangkat kontrol harus melalui VPN yang sudah diperbarui ke versi terbaru. Media removable dan laptop portabel harus dipindai virus sebelum dicolokkan ke jaringan kontrol.

Siapa yang Melaporkan?

Kerentanan ini dilaporkan oleh peneliti keamanan yang menggunakan nama Psytester. Advisory awal diterbitkan oleh ABB PSIRT (nomor 9AKK108471A7808) pada 7 Oktober 2025, dan dipublikasi ulang oleh CISA pada 28 Mei 2026.

Bagi pengelola gedung pintar di Indonesia, advisory ini menjadi pengingat bahwa perangkat otomasi gedung juga bisa menjadi target serangan siber. Memastikan perangkat KNX tidak terpapar ke internet publik adalah langkah pertama yang paling mendasar namun sering diabaikan.***