Hitachi Energy RTU500 Punya 7 Celah, Peretas Bisa Lumpuhkan Sistem Kendali Energi dan Air

CLB.my.id - Hitachi Energy mengungkap tujuh kerentanan pada firmware RTU500 series, perangkat remote terminal unit yang menjadi tulang punggung sistem otomasi gardu distribusi di sektor energi, air, dan bendungan di seluruh dunia. CISA menerbitkan advisory ICSA-26-155-01 pada 4 Juni 2026 dan mengonfirmasi bahwa sebagian besar celah ini bisa menyebabkan denial of service (DoS) yang melumpuhkan sistem kendali.

RTU500 adalah perangkat keras yang berfungsi sebagai antarmuka komunikasi antara peralatan lapangan di gardu distribusi dan sistem kontrol pusat. Perangkat ini dipasang di infrastruktur kritis di seluruh dunia, menjadikannya target yang sangat sensitif.

Tujuh Celah dengan Tingkat Keparahan Beragam

Dari tujuh CVE yang diidentifikasi, enam di antaranya berasal dari kerentanan di pustaka libexpat, parser XML yang banyak dipakai di perangkat embedded. Semua celah libexpat ini hanya berdampak jika fitur IEC 61850 dikonfigurasi pada perangkat.

CVE-2025-69421 (CVSS 6.5) adalah celah NULL pointer dereference yang dipicu saat memproses file PKCS#12 yang dibuat khusus melalui antarmuka web atau klien PKI. Akibatnya adalah crash aplikasi. Celah ini berlaku untuk semua konfigurasi.

CVE-2026-25210 (CVSS 7.8) merupakan yang paling serius di antara celah libexpat. Ini adalah integer overflow di fungsi doContent libexpat versi di bawah 2.7.4. Dampak utamanya adalah DoS, tetapi CISA mencatat potensi dampak sekunder pada kerahasiaan dan integritas data.

Empat celah lainnya, yaitu CVE-2026-24515, CVE-2026-32776, CVE-2026-32777, dan CVE-2026-32778, semuanya berjenis NULL pointer dereference dan infinite loop dengan skor CVSS antara 2,5 hingga 5,5. Semuanya menyebabkan DoS.

CVE-2026-8479 (CVSS 6.5) berbeda dari yang lain. Celah ini ada di protokol IEC 60870-5-104 dalam mode bidirectional (BCI) dan bisa dipicu melalui urutan pesan yang dibuat khusus. Hanya sistem yang mengonfigurasi BCI yang terdampak.

Versi yang Terdampak

Firmware RTU500 series CMU yang terdampak mencakup versi 12.7.1 hingga 12.7.7, versi 13.5.1 hingga 13.5.4, versi 13.6.1 hingga 13.6.3, versi 13.7.1 hingga 13.7.8, serta versi 13.8.1. Cakupan versi yang luas ini menunjukkan bahwa sebagian besar instalasi RTU500 yang beroperasi saat ini kemungkinan besar rentan.

Untuk CVE-2026-8479 secara spesifik, versi 13.7.1 hingga 13.7.7 terdampak, dan perbaikan tersedia di versi 13.7.8.

Pembaruan Firmware dan Mitigasi

Hitachi Energy merekomendasikan pembaruan ke firmware CMU versi 13.8.2 untuk semua versi yang terdampak. Untuk cabang versi 13.7.x, tersedia opsi pembaruan ke versi 13.7.8 (khusus untuk CVE-2026-8479) atau ke 13.7.9 ketika tersedia, atau langsung ke 13.8.2.

Sebagai langkah mitigasi tambahan, Hitachi Energy dan CISA menyarankan untuk memastikan sistem kontrol proses terkunci secara fisik dan tidak terhubung langsung ke internet. Jaringan kontrol harus diisolasi di balik firewall dengan port seminimal mungkin. Sistem kontrol tidak boleh digunakan untuk browsing web, email, atau pesan instan.

CISA juga menekankan pentingnya menggunakan VPN yang sudah diperbarui untuk akses jarak jauh yang aman, serta melakukan analisis dampak dan penilaian risiko sebelum menerapkan langkah-langkah defensif.

Siapa yang Melaporkan

Seluruh kerentanan ini dilaporkan oleh tim internal Hitachi Energy sendiri, bukan oleh peneliti keamanan luar. Ini menunjukkan bahwa perusahaan memiliki program audit keamanan internal yang aktif. Advisory vendor diterbitkan dengan kode PSIRT 8DBD000252.

Ketergantungan pada libexpat di perangkat embedded industri sekali lagi menunjukkan risiko rantai pasok perangkat lunak. Pustaka open source yang dipakai di jutaan perangkat bisa menjadi titik lemah ketika kerentanan ditemukan.

Sumber: CISA Advisory ICSA-26-155-04, Hitachi Energy PSIRT 8DBD000252