CISA Temukan Celah di Software Pengendali Pabrik Schneider Electric, Kode Sumber Bisa Dicuri

CLB.my.id - Badan Keamanan Siber dan Infrastruktur AS (CISA) merilis advisory keamanan baru yang mengungkap kerentanan pada perangkat lunak Schneider Electric EcoStruxure Machine Expert HVAC. Kerentanan ini, yang diberi kode CVE-2026-6332, memungkinkan penyerang yang sudah memiliki akses terotorisasi untuk mencuri kode sumber yang dilindungi dari perangkat lunak tersebut.

EcoStruxure Machine Expert HVAC adalah perangkat lunak pemrograman yang digunakan untuk mengontrol logic controller Modicon M171-M172, perangkat keras yang banyak dipakai di berbagai sektor industri kritis termasuk manufaktur, energi, air limbah, dan sektor kimia. Schneider Electric, perusahaan yang bermarkas di Prancis, mengkonfirmasi bahwa semua versi sebelum 1.10.0 terdampak oleh kerentanan ini.

Detail Teknis Kerentanan

Kerentanan ini dikategorikan sebagai Cleartext Storage of Sensitive Information (CWE-312), yang berarti informasi sensitif disimpan dalam bentuk teks biasa tanpa enkripsi yang memadai. Dengan CVSS score 5.5 (tingkat Medium), kerentanan ini memerlukan akses lokal dan hak akses rendah untuk dieksploitasi.

Vektor serangan menunjukkan bahwa penyerang perlu memiliki akses lokal ke sistem (AV:L), dengan kompleksitas serangan yang rendah (AC:L), dan hak akses pengguna biasa (PR:L). Meskipun dampaknya terbatas pada kerahasiaan (C:H) tanpa mempengaruhi integritas atau ketersediaan sistem, kebocoran kode sumber bisa menjadi langkah awal untuk serangan yang lebih besar.

Dengan mengakses kode sumber, penyerang bisa mempelajari kelemahan perangkat lunak secara mendalam, menemukan celah-celah tersembunyi yang belum terungkap, dan mengembangkan eksploit yang lebih canggih. Dalam konteks sistem kontrol industri, informasi semacam ini sangat berharga karena bisa digunakan untuk menargetkan infrastruktur kritis dengan presisi tinggi.

Dampak pada Infrastruktur Kritis

Yang membuat advisory ini perlu mendapat perhatian serius adalah cakupan sektor yang terdampak. Logic controller Modicon M171-M172 yang diprogram menggunakan software ini digunakan di sektor energi, manufaktur kritis, air limbah, dan industri kimia. Semua sektor ini termasuk dalam daftar infrastruktur kritis yang kegagalannya bisa berdampak luas pada masyarakat.

Penyebaran produk ini bersifat global, artinya potensi dampaknya tidak terbatas pada satu wilayah geografis tertentu. Perusahaan-perusahaan di Indonesia yang menggunakan produk Schneider Electric di fasilitas industri mereka perlu segera memeriksa versi software yang mereka gunakan dan memastikan pembaruan keamanan telah diterapkan.

Solusi dan Mitigasi

Schneider Electric telah merilis pembaruan versi 1.10.0 yang menutup kerentanan ini. Semua pengguna disarankan untuk segera memperbarui perangkat lunak mereka ke versi terbaru melalui portal unduhan resmi Schneider Electric. Pembaruan ini tersedia secara gratis dan proses instalasinya relatif sederhana.

Selain pembaruan software, CISA dan Schneider Electric merekomendasikan sejumlah langkah mitigasi tambahan. Jaringan kontrol dan keselamatan harus ditempatkan di balik firewall dan diisolasi dari jaringan bisnis. Controller harus dikunci di dalam lemari dan tidak boleh ditinggalkan dalam mode “Program”. Akses jarak jauh harus menggunakan VPN, meskipun pengguna perlu memahami bahwa VPN juga memiliki kerentanannya sendiri.

Semua pertukaran data melalui media mobile seperti USB dan CD harus dipindai sebelum digunakan. Paparan jaringan perangkat kontrol harus diminimalkan dan dipastikan tidak dapat diakses melalui internet. Rekomendasi-rekomendasi ini sejalan dengan praktik keamanan siber industri terbaik yang juga relevan untuk diterapkan di fasilitas industri di Indonesia.

Pelajaran untuk Pengelola Infrastruktur Indonesia

Kasus ini menjadi pengingat bahwa perangkat lunak yang mengontrol infrastruktur kritis juga bisa memiliki kelemahan keamanan. Penyimpanan informasi sensitif dalam teks biasa adalah masalah mendasar yang seharusnya bisa dihindari sejak awal pengembangan perangkat lunak. Produsen perangkat industri seharusnya menerapkan prinsip secure by design, bukan menambahkan keamanan sebagai afterthought.

Bagi pengelola pabrik, pembangkit listrik, dan fasilitas pengolahan air di Indonesia, audit berkala terhadap software yang digunakan dan penerapan patch keamanan secara tepat waktu bukan lagi opsional, melainkan kebutuhan yang mendesak. Serangan terhadap sistem kontrol industri bukan lagi skenario fiktif, melainkan ancaman nyata yang terus meningkat dari tahun ke tahun.***