Kamera Brickcom Bisa Diintip Tanpa Login, CISA Temukan Celah di Semua Model Populer

CLB.my.id - Empat model kamera keamanan buatan produsen Taiwan, Brickcom, ternyata memiliki celah serius yang memungkinkan siapa pun mengakses feed video secara langsung tanpa perlu autentikasi. Badan keamanan siber Amerika Serikat, CISA, merilis advisory ICSA-26-162-03 pada 11 Juni 2026 yang mengungkap dua kerentanan berbeda pada firmware versi 3.2.3.5.6 yang dipakai di seluruh lini produk Brickcom.

Yang membuat situasi semakin mengkhawatirkan, Brickcom tidak merespons permintaan koordinasi dari CISA. Artinya, hingga advisory ini diterbitkan, belum ada patch atau perbaikan resmi dari vendor. Pengguna ditinggal menghadapi risiko keamanan sendirian.

Model Mana Saja yang Terdampak?

CISA mengidentifikasi empat model kamera Brickcom yang terpengaruh, semuanya menjalankan firmware 3.2.3.5.6. Model tersebut adalah Brickcom Cube, Brickcom Dome, Brickcom Bullet, dan Brickcom Box. Keempatnya mencakup berbagai jenis kamera keamanan yang umum dipasang di gedung perkantoran, pusat perbelanjaan, fasilitas kesehatan, dan manufaktur.

Brickcom sebagai perusahaan berpusat di Taiwan dan produknya digunakan secara global di berbagai sektor infrastruktur kritis termasuk fasilitas komersial, manufaktur kritis, layanan keuangan, serta sektor kesehatan dan kesehatan masyarakat. Cakupan dampaknya bukan main-main.

Dua Celah yang Saling Melengkapi

CISA menemukan dua kerentanan terpisah yang masing-masing bernilai CVSS 7.7 dalam skala severity HIGH. Celah pertama terdaftar dengan kode CVE-2026-50245, yaitu Missing Authentication for Critical Function. Celah ini memungkinkan akses tidak sah ke gambar snapshot langsung melalui endpoint ONVIF tanpa perlu autentikasi apa pun. Cukup dengan mengakses path yang tepat, siapa pun bisa mengambil gambar diam dari kamera yang seharusnya terproteksi.

Celah kedua adalah CVE-2026-50005, yaitu Use of Default Credentials. Produk Brickcom dikirim dari pabrik dengan kredensial default yang bisa langsung digunakan oleh penyerang untuk mengakses feed kamera secara diam-diam. Kombinasi kedua celah ini menciptakan risiko ganda: bahkan jika satu celah ditutup, celah lainnya tetap bisa dieksploitasi.

Yang perlu dicatat, meskipun skor CVSS v3.1 menunjukkan attack vector lokal (AV:L), skor CVSS v4.0 untuk kedua celah adalah 8.3 HIGH, yang menandakan tingkat keparahan lebih tinggi dalam sistem penilaian terbaru. Penemu proof-of-concept untuk celah ini adalah parsa rezaie khiabanloo, yang menunjukkan bahwa eksploitasi teknis sudah terbukti bisa dilakukan.

Mengapa Vendor Tidak Merespons?

Salah satu aspek paling mencemaskan dari advisory ini adalah sikap Brickcom yang tidak memberikan respons terhadap upaya koordinasi CISA. Dalam dunia cybersecurity, respons vendor adalah kunci utama mitigasi. Ketika vendor tidak merespons, pengguna tidak punya panduan resmi tentang cara memperbaiki atau mengurangi risiko.

CISA hanya bisa mengarahkan pengguna untuk menghubungi Brickcom langsung melalui halaman dukungan di brickcom.com/case. Namun tanpa komitmen vendor untuk merilis patch, pengguna harus mengandalkan langkah mitigasi umum yang direkomendasikan CISA.

Langkah Mitigasi yang Bisa Dilakukan

CISA merekomendasikan beberapa strategi pertahanan yang bisa diterapkan segera. Pertama dan paling penting, pastikan kamera keamanan tidak bisa diakses dari internet publik. Banyak instalasi kamera yang sengaja dibuat bisa diakses dari jarak jauh untuk kemudahan monitoring, namun praktik ini membuka celah lebar bagi penyerang.

Kedua, lakukan segmentasi jaringan dengan menempatkan perangkat kamera di balik firewall dan memisahkannya dari jaringan bisnis utama. Ketiga, gunakan VPN yang selalu diperbarui untuk akses jarak jauh, meskipun perlu diingat bahwa keamanan VPN hanya sebaik perangkat yang terhubung ke dalamnya.

Pengguna juga disarankan untuk mengganti kredensial default sesegera mungkin. Meskipun langkah ini tidak menutup celah Missing Authentication pada endpoint ONVIF, setidaknya mengurangi risiko dari celah default credentials. Selain itu, nonaktifkan layanan ONVIF jika tidak diperlukan untuk mengurangi permukaan serangan.

Pelajaran untuk Pengguna Kamera Keamanan di Indonesia

Temuan ini menjadi pengingat keras bagi siapa pun yang menggunakan kamera keamanan berbasis IP, termasuk di Indonesia. Banyak instalasi kamera CCTV di rumah, toko, dan kantor yang menggunakan produk dengan kredensial default dan terhubung langsung ke internet tanpa perlindungan firewall yang memadai.

Praktik terbaik yang seharusnya menjadi standar adalah mengganti semua kata sandi default sebelum kamera dioperasikan, memisahkan jaringan kamera dari jaringan utama, membatasi akses hanya dari IP tertentu, dan secara berkala memeriksa apakah vendor telah merilis pembaruan keamanan. Untuk kasus Brickcom di mana vendor tidak merespons, mempertimbangkan penggantian perangkat ke merek yang memiliki track record respons keamanan yang baik mungkin menjadi opsi paling aman.***