CISA Ungkap Celah Kritis pada Pengisi Daya EV XCharge C6, Skor CVSS 9,8
CLB.my.id - Badan Keamanan Siber AS (CISA) mengungkap celah keamanan kritis pada pengisi daya kendaraan listrik XCharge C6 yang berdampak global. Skor CVSS 9,8 dari 10 menempatkan kerentanan ini di level kritis, dengan potensi pelaku jahat bisa mengambil alih hak administrator atau mengeksekusi kode pada perangkat yang terpengaruh.
XCharge C6 adalah pengisi daya kendaraan listrik yang digunakan di sektor Transportasi dan tersebar di berbagai negara. Tiga kerentanan ditemukan dalam satu advisory CISA dengan kode ICSA-26-148-08, yang dirilis pada 28 Mei 2026.
Tiga Celah yang Ditemukan
Kerentanan pertama tercatat dengan kode CVE-2026-9037 dan berpusat pada mekanisme pembaruan firmware. Mekanisme update firmware di pengontrol pengisian yang terdampak tidak memvalidasi keaslian paket firmware yang dikirimkan melalui antarmuka manajemen perangkat.
Karena tanda tangan kriptografis tidak diverifikasi, pelaku yang mampu mencegat atau menyamar sebagai saluran manajemen bisa menyebabkan perangkat memasang paket firmware yang tidak sah. Kondisi ini memungkinkan eksekusi kode tanpa otorisasi dengan hak akses tinggi pada perangkat.
Kedua, kerentanan Stack-based Buffer Overflow ditemukan dalam sistem XCharge C6. Jenis kerentanan ini memungkinkan pelaku menimpa memori sistem untuk menjalankan kode berbahaya.
Ketiga, ada masalah Insecure Default Initialization, di mana sumber daya sistem diinisialisasi dengan konfigurasi default yang tidak aman. Ini membuka celah bagi pelaku untuk memanfaatkan pengaturan bawaan yang lemah.
Mengapa Ini Penting bagi Pengguna EV di Indonesia
Meskipun XCharge adalah perusahaan yang berpusat di AS, dampak kerentanan ini bersifat global. Pengisi daya kendaraan listrik XCharge C6 digunakan di berbagai negara, termasuk di kawasan Asia Pasifik.
Di Indonesia, ekosistem kendaraan listrik sedang tumbuh pesat. Pemerintah menargetkan adopsi kendaraan listrik yang semakin masif dalam beberapa tahun ke depan. Infrastruktur pengisian daya, termasuk yang menggunakan produk dari berbagai vendor internasional, menjadi fondasi penting dari transisi ini.
Kerentanan pada pengisi daya EV bukan sekadar masalah teknis. Jika pelaku bisa mengambil alih hak administrator pada stasiun pengisian, potensi dampaknya mencakup manipulasi daya pengisian, pencurian data pengguna, hingga gangguan pada infrastruktur transportasi.
Apa yang Harus Dilakukan
CISA merekomendasikan beberapa langkah mitigasi untuk mengurangi risiko. Pertama, isolasi jaringan sistem kontrol dengan firewall dan pastikan perangkat tidak dapat diakses dari internet. Kedua, gunakan kontrol fisik dan kabinet terkunci untuk perangkat pengisian.
Ketiga, pindai semua metode pertukaran data mobile seperti USB sebelum digunakan pada jaringan yang terisolasi. Keempat, jangan pernah menghubungkan perangkat lunak pemrograman ke jaringan yang tidak diinginkan.
Saat akses jarak jauh diperlukan, gunakan metode aman seperti VPN dan pastikan semua perangkat terkait selalu diperbarui. Untuk vendor, segera periksa dan terapkan patch firmware yang tersedia dari XCharge.
Tren Kerentanan Infrastruktur Kritis
Temuan ini sejalan dengan tren meningkatnya kerentanan pada perangkat infrastruktur kritis yang terhubung ke internet. Dalam beberapa bulan terakhir, CISA terus menambahkan advisori untuk berbagai perangkat industri dan infrastruktur, mulai dari sistem HVAC Schneider Electric hingga bioreaktor Eppendorf.
Pengisi daya kendaraan listrik termasuk dalam kategori perangkat yang sering diabaikan dalam audit keamanan siber. Banyak operator fokus pada keamanan jaringan IT tradisional tetapi luput memeriksa perangkat IoT dan OT yang juga terhubung ke jaringan.
Bagi pelaku bisnis yang mengelola infrastruktur pengisian EV, baik di SPBU, mal, perkantoran, maupun area publik, advisori CISA ini menjadi pengingat penting bahwa keamanan siber harus mencakup semua perangkat yang terhubung, termasuk pengisi daya kendaraan listrik.***
