Hitachi Energy RTU500 Punya 7 Celah Sekaligus, Sistem Kelistrikan dan Bendungan Terancam Mandek

CLB.my.id - Hitachi Energy mengonfirmasi tujuh kerentanan yang ditemukan pada produk RTU500, perangkat remote terminal unit yang menjadi tulang punggung sistem kontrol di sektor energi, bendungan, dan air limbah di seluruh dunia. Celah celah ini berpotensi menyebabkan denial of service yang bisa melumpuhkan operasional infrastruktur kritis.

Apa Itu RTU500?

RTU500 adalah seri remote terminal unit buatan Hitachi Energy, perusahaan yang berkantor pusat di Swiss dan merupakan anak usaha dari Hitachi. Perangkat ini dirancang untuk memantau dan mengendalikan proses industri dari jarak jauh, khususnya di sektor infrastruktur kritis seperti pembangkit listrik, jaringan transmisi, bendungan, dan sistem pengolahan air limbah.

RTU500 berfungsi sebagai penghubung antara peralatan lapangan (sensor, aktuator, breaker) dengan sistem SCADA pusat. Tanpa perangkat ini, operator kehilangan kemampuan untuk memantau kondisi real time dan merespons gangguan di lapangan secara otomatis.

Tujuh Kerentanan yang Ditemukan

Advisory ICSA-26-155-01 yang dirilis CISA pada 4 Juni 2026 mengungkap tujuh CVE yang mempengaruhi firmware CMU RTU500 pada berbagai versi, mulai dari 12.7.1 hingga 13.8.1. Kerentanan ini ditemukan oleh tim internal Hitachi Energy sendiri.

CVE-2025-69421 adalah yang paling mudah dieksploitasi. Dengan skor CVSS 6,5, celah ini berupa null pointer dereference yang dipicu oleh file PKCS#12 yang dibuat khusus melalui klien web atau PKI. Dampaknya terbatas pada denial of service, bukan eskalasi ke eksekusi kode.

CVE-2026-25210 menjadi yang paling berbahaya dengan skor CVSS 7,8 (HIGH). Celah ini berupa integer overflow yang memerlukan konfigurasi fungsionalitas IEC 61850 aktif. Jika dieksploitasi, dampaknya bisa mencakup gangguan ketersediaan dengan potensi dampak sekunder pada kerahasiaan dan integritas data.

Lima kerentanan lainnya, yaitu CVE-2026-24515, CVE-2026-32776, CVE-2026-32777, CVE-2026-32778, dan CVE-2026-8479, semuanya berkaitan dengan pustaka libexpat yang sudah usang. Versi sebelum 2.7.4 dan 2.7.5 dari pustaka XML parser ini memiliki kelemahan yang bisa menyebabkan crash atau infinite loop saat memproses data XML.

CVE-2026-8479 memiliki skor tersendiri sebesar 6,5 dan berbeda dari yang lain karena memerlukan konfigurasi IEC 60870-5-104 dalam mode dua arah (bidirectional). Serangan dilakukan dengan mengirim sekuens pesan yang dibuat khusus melalui protokol tersebut.

Dampak bagi Infrastruktur Kritis

RTU500 dikerahkan di sektor energi, bendungan, dan air limbah yang merupakan bagian dari infrastruktur kritis suatu negara. Gangguan pada perangkat ini bukan sekadar masalah teknis, melainkan bisa berdampak pada layanan publik yang vital.

Denial of service pada RTU500 berarti operator kehilangan visibilitas terhadap kondisi lapangan. Di sektor energi, ini bisa menghambat deteksi gangguan jaringan listrik. Di bendungan, hilangnya pemantauan bisa mempersulit pengendalian level air. Di sistem air limbah, gangguan bisa berujung pada kegagalan proses pengolahan.

Meskipun semua kerentanan ini memerlukan kondisi tertentu untuk dieksploitasi, skor CVSS yang mencapai 7,8 menunjukkan bahwa risikonya tidak bisa diabaikan, terutama mengingat target perangkat yang berada di sektor kritis.

Panduan Pembaruan Firmware

Hitachi Energy telah merilis firmware versi 13.8.2 sebagai perbaikan untuk semua kerentanan. Tabel pembaruan yang disarankan cukup jelas: semua versi dari 12.7.1 hingga 13.8.1 perlu diperbarui ke 13.8.2.

Untuk pengguna yang masih berada di cabang 13.7.x, tersedia opsi alternatif yaitu memperbarui ke 13.7.9 yang akan tersedia dalam waktu dekat. Namun, jalur yang disarankan tetap langsung ke 13.8.2 untuk memastikan semua celah tertutup.

Selain pembaruan firmware, CISA juga mengingatkan tentang praktik keamanan umum untuk sistem kontrol industri. Isolasi jaringan di balik firewall, pembatasan akses fisik, penggunaan VPN yang selalu diperbarui, dan larangan menggunakan sistem kontrol untuk browsing web atau email adalah beberapa langkah dasar yang tetap relevan.

Konteks Industri

Temuan tujuh kerentanan sekaligus pada satu produk infrastruktur kritis menunjukkan pentingnya audit keamanan berkelanjutan, bahkan untuk produk yang sudah beredar luas. Keterlibatan pustaka pihak ketiga seperti libexpat juga menjadi catatan bahwa rantai pasok perangkat lunak tetap menjadi titik lemah yang perlu dipantau.

Hitachi Energy melaporkan kerentanan ini melalui tim internalnya sendiri, yang menunjukkan adanya program responsible disclosure yang berjalan. CISA mempublikasikan advisory ini untuk memastikan semua operator yang menggunakan RTU500 mendapat informasi yang cukup untuk mengambil tindakan.