Charger EV XCharge C6 Punya Celah Kritis CVSS 9.8, Peretas Bisa Jalankan Kode dari Jarak Jauh

CLB.my.id - CISA mengungkap tiga kerentanan kritis pada pengisi daya kendaraan listrik XCharge C6 yang tersebar di seluruh dunia. Dengan skor CVSS 9.8, celah ini memungkinkan peretas mendapatkan hak administrator atau mengeksekusi kode pada perangkat tanpa autentikasi. Advisory ICSA-26-148-08 diterbitkan pada 28 Mei 2026 dan mencakup semua versi produk XCharge C6.

XCharge C6 adalah pengisi daya DC fast charger yang memenangkan penghargaan Red Dot Award, tersedia dalam varian 60 kW hingga 200 kW. Perangkat ini dipasang di infrastruktur pengisian kendaraan listrik di seluruh dunia, menjadikannya target yang sangat menarik bagi penyerang yang ingin mengganggu jaringan transportasi.

Tiga Celah dengan Dampak Serius

CVE-2026-9037 adalah celah yang paling mengkhawatirkan. Mekanisme pembaruan firmware pada pengontrol pengisian yang terdampak tidak memverifikasi keaslian paket firmware yang dikirimkan melalui antarmuka manajemen perangkat. Karena tanda tangan kriptografi tidak diperiksa, penyerang yang mampu mengganggu atau menyamar sebagai saluran manajemen bisa menyebabkan perangkat memasang paket firmware yang tidak sah. Kondisi ini memungkinkan eksekusi kode tidak sah dengan hak akses tinggi pada perangkat.

Celah kedua adalah stack-based buffer overflow, jenis kerentanan klasik yang memungkinkan penyerang menimpa memori stack dan mengambil alih kendali eksekusi program. Ketika digabungkan dengan celah firmware tanpa verifikasi, ini menciptakan jalur serangan yang sangat berbahaya.

Celah ketiga adalah inisialisasi sumber daya dengan nilai default yang tidak aman. Perangkat dikirimkan dengan konfigurasi default yang bisa dieksploitasi oleh penyerang untuk mendapatkan akses awal.

Mengapa CVSS 9.8 Sangat Berbahaya

Skor CVSS 9.8 menempatkan XCharge C6 di kategori Critical, hanya dua persepuluh di bawah skor maksimal 10.0. Serangan bisa dilakukan dari jaringan (network), tanpa kompleksitas tinggi, tanpa hak akses, dan tanpa interaksi pengguna. Ini artinya siapa pun yang bisa mengakses jaringan manajemen perangkat bisa mengeksploitasi celah ini.

Dampaknya mencakup kerahasiaan, integritas, dan ketersediaan secara penuh. Penyerang bisa mengambil alih kendali perangkat, mengubah parameter pengisian, mematikan charger, atau bahkan menggunakan perangkat sebagai titik pijak untuk menyerang infrastruktur jaringan yang lebih luas.

Infrastruktur Transportasi yang Terancam

CISA mengklasifikasikan XCharge C6 di bawah sektor infrastruktur kritis Sistem Transportasi. Charger ini dipasang di lokasi-lokasi strategis termasuk stasiun pengisian pubdepot fleet, dan lokasi komersial. Perusahaan berkantor pusat di Amerika Serikat tetapi produknya didistribusikan secara global.

Dengan semakin banyaknya kendaraan listrik di jalan, jaringan pengisian yang aman menjadi kebutuhan infrastruktur yang kritis. Celah pada charger yang tersebar luas bisa berdampak pada layanan transportasi di banyak negara sekaligus.

Rekomendasi Mitigasi

Hingga advisory ini diterbitkan, belum ada patch firmware yang tersedia dari XCharge. CISA merekomendasikan langkah-langkah mitigasi standar untuk sistem kontrol industri, termasuk meminimalkan paparan jaringan, mengisolasi jaringan kontrol di balik firewall, dan memastikan perangkat tidak terhubung langsung ke internet.

CISA juga mengingatkan organisasi untuk melakukan analisis dampak sebelum menerapkan langkah pertahanan dan merujuk pada praktik terbaik ICS serta strategi pertahanan berlapis. Aktivitas mencurigakan harus dilaporkan ke CISA.

Pengguna XCharge C6 disarankan untuk memantau portal keamanan vendor dan situs web CISA ICS-CERT untuk pembaruan firmware yang akan datang. Mengingat tingkat keparahan celah ini, prioritas utama adalah memastikan perangkat tidak dapat diakses dari jaringan publik.

Sumber: CISA Advisory ICSA-26-148-08, NVD CVE-2026-9037