CISA Ungkap Celah yang Bisa Bocorkan Kode Sumber Sistem HVAC Schneider Electric
CLB.my.id - CISA kembali merilis advisory keamanan siber yang menargetkan perangkat lunak industri. Kali ini, Schneider Electric EcoStruxure Machine Expert HVAC teridentifikasi memiliki kerentanan yang bisa mengungkap kode sumber sensitif. Perangkat lunak ini digunakan untuk memprogram kontroler logika Modicon M171 dan M172 yang banyak dipasang di fasilitas industri di seluruh dunia.
Kerentanan yang diberi kode CVE-2026-6332 memiliki skor CVSS 5,5 dari 10, termasuk kategori sedang. Meski skornya tidak setinggi kerentanan kritis, dampaknya tetap signifikan karena bisa menyebabkan kehilangan kerahasiaan kode sumber yang dilindungi.
Apa yang Bocor?
Masalah utamanya adalah penyimpanan informasi sensitif dalam bentuk teks biasa atau cleartext. Ketika pengguna yang berwenang mengakses kode sumber untuk keperluan editing atau kompilasi, mereka berpotensi melihat data sensitif yang seharusnya terenkripsi.
Dalam konteks industri, kode sumber perangkat lunak HVAC bisa berisi logika kontrol yang mengatur suhu, kelembaban, dan sistem ventilasi di fasilitas manufaktur, pembangkit energi, atau sistem pengolahan air. Jika kode ini jatuh ke tangan yang salah, penyerang bisa memahami cara kerja sistem kontrol dan menemukan celah untuk serangan lebih lanjut.
Sektor yang Terdampak
Schneider Electric menyebutkan empat sektor infrastruktur kritis yang berpotensi terdampak: kimia, manufaktur kritis, energi, serta sistem air dan air limbah. Keempat sektor ini merupakan tulang punggung infrastruktur modern yang gangguannya bisa berdampak luas pada masyarakat.
Perangkat lunak ini digunakan secara global, artinya potensi dampaknya tidak terbatas pada satu wilayah saja. Fasilitas industri di Asia Tenggara, termasuk Indonesia, yang menggunakan produk Schneider Electric untuk sistem HVAC mereka perlu waspada terhadap advisory ini.
Siapa yang Menemukan?
Kerentanan ini dilaporkan oleh Schneider Electric CPCERT sendiri, tim respons keamanan internal perusahaan. Fakta bahwa kerentanan ditemukan oleh tim internal dan bukan oleh peneliti keamanan independen menunjukkan bahwa Schneider Electric memiliki program keamanan yang aktif. Namun di sisi lain, ini juga berarti kerentanan bisa saja sudah ada cukup lama sebelum ditemukan.
Solusi yang Tersedia
Schneider Electric sudah merilis perbaikan di versi 1.10.0 dari EcoStruxure Machine Expert HVAC. Pengguna disarankan segera memperbarui perangkat lunak mereka ke versi terbaru yang tersedia di situs resmi Schneider Electric.
Tidak ada solusi sementara atau workaround yang disediakan. Satu-satunya jalan adalah melakukan update. CISA juga merekomendasikan beberapa langkah keamanan tambahan, termasuk menempatkan sistem kontrol di balik firewall, mengisolasi jaringan kontrol dari jaringan bisnis, memasang kontrol fisik untuk mencegah akses tidak sah, dan tidak pernah menghubungkan perangkat lunak pemrograman ke jaringan selain yang dituju.
Pentingnya Keamanan Perangkat Lunak Industri
Advisory ini menjadi pengingat lain bahwa perangkat lunak industri tidak kebal terhadap kerentanan keamanan. Seiring semakin banyaknya fasilitas industri yang terhubung ke jaringan, risiko serangan siber terhadap sistem kontrol industri juga meningkat.
Bagi operator fasilitas industri di Indonesia, advisory ini seharusnya menjadi pemicu untuk meninjau keamanan sistem kontrol mereka. Pastikan semua perangkat lunak industri diperbarui secara berkala, jaringan kontrol terisolasi dari internet, dan akses fisik ke peralatan kontrol dibatasi. Keamanan siber industri bukan lagi opsional, melainkan kebutuhan mendesak.***
