CISA Temukan Celah Kritis di Charger EV XCharge C6, Peretas Bisa Jalankan Kode dari Jauh

Tiga kelemahan ditemukan di pengisi daya kendaraan listrik XCharge C6, dengan skor CVSS 9,8. CISA mendesak pengguna segera memperbarui firmware.

CLB.my.id - Badan keamanan siber Amerika Serikat CISA mengungkap tiga kerentanan kritis pada pengisi daya kendaraan listrik XCharge C6. Ketiga celah tersebut memiliki skor CVSS v3 sebesar 9,8, skor tertinggi yang mungkin ada, karena memungkinkan peretas mengambil alih hak administrator atau mengeksekusi kode dari jarak jauh pada perangkat yang terdampak.

XCharge C6 digunakan secara global di infrastruktur transportasi. Perangkat ini diproduksi oleh XCharge, perusahaan yang berkantor pusat di Amerika Serikat dan menyediakan solusi pengisian daya untuk kendaraan listrik di berbagai negara.

Tiga Celah yang Ditemukan

Kerentanan pertama, yang diberi kode CVE-2026-9037, terletak pada mekanisme pembaruan firmware perangkat. Sistem update firmware XCharge C6 tidak memverifikasi keaslian paket firmware yang dikirimkan melalui antarmuka manajemen. Karena tidak ada tanda tangan kriptografis yang diperiksa, penyerang yang mampu mencegat atau menyamar sebagai saluran manajemen bisa memasang firmware ilegal dengan hak akses tinggi pada perangkat.

Dua kerentanan lainnya mencakup stack-based buffer overflow dan inisialisasi sumber daya dengan pengaturan default yang tidak aman. Kombinasi ketiga celah ini memberikan kontrol penuh kepada penyerang atas perangkat pengisian daya.

Mengapa Ini Penting?

Charger kendaraan listrik semakin tersebar di jalan-jalan, mal, dan tempat parkir di seluruh dunia. Perangkat XCharge C6 terhubung ke jaringan dan memiliki antarmuka manajemen yang bisa diakses secara remote. Jika peretas berhasil mengeksploitasi celah ini, mereka bukan hanya bisa mengambil alih satu charger, tetapi juga berpotensi menggunakan perangkat tersebut sebagai pintu masuk ke jaringan yang lebih luas.

CISA mengategorikan XCharge C6 sebagai bagian dari sektor infrastruktur kritis transportasi. Serangan terhadap infrastruktur semacam ini bisa mengganggu layanan pengisian daya kendaraan listrik dan berpotensi membahayakan keselamatan publik.

Rekomendasi CISA

CISA mendesak semua operator dan pemilik perangkat XCharge C6 untuk segera memperbarui firmware ke versi terbaru yang sudah menambal ketiga kerentanan tersebut. Selain itu, CISA merekomendasikan beberapa langkah mitigasi umum, termasuk meminimalkan paparan jaringan perangkat kontrol, memastikan perangkat tidak bisa diakses dari internet langsung, mengisolasi jaringan kontrol di balik firewall, dan menggunakan VPN untuk akses remote.

CISA juga mengimbau organisasi untuk melakukan analisis dampak dan penilaian risiko sebelum menerapkan pertahanan, serta melaporkan aktivitas mencurigakan ke CISA.

Konteks untuk Pengguna Indonesia

Meski XCharge bukan merek charger EV yang paling umum di Indonesia, temuan ini menjadi pengingat penting bagi ekosistem kendaraan listrik nasional. Dengan semakin banyaknya stasiun pengisian kendaraan listrik (SPKLU) yang dibangun di Indonesia, keamanan siber perangkat charging harus menjadi prioritas. Operator SPKLU di Indonesia sebaiknya memastikan semua perangkat mereka menggunakan firmware terbaru dan tidak terpapar langsung ke internet publik.

Industri EV global masih dalam tahap pertumbuhan, dan celah keamanan seperti yang ditemukan di XCharge C6 menunjukkan bahwa keamanan siber sering kali tertinggal di belakang kecepatan adopsi teknologi.