Perangkat Lunak Industri Schneider Electric Punya Celah, Kode Sumber Bisa Bocor

CVE-2026-6332 ditemukan di EcoStruxure Machine Expert HVAC, perangkat lunak pemrograman untuk pengontrol logika industri yang digunakan di sektor energi dan manufaktur.

CLB.my.id - Badan keamanan siber Amerika Serikat, CISA, merilis advisory terbaru yang menyoroti kerentanan pada perangkat lunak industri Schneider Electric. Celah keamanan yang diberi kode CVE-2026-6332 ini ditemukan di EcoStruxure Machine Expert HVAC, sebuah perangkat lunak pemrograman untuk pengontrol logika Modicon M171-M172 yang digunakan secara luas di berbagai sektor infrastruktur kritis.

Apa Itu EcoStruxure Machine Expert HVAC

EcoStruxure Machine Expert HVAC adalah perangkat lunak yang digunakan teknisi untuk memprogram dan mengonfigurasi pengontrol logika Modicon M171-M172 buatan Schneider Electric. Pengontrol ini banyak dipakai di sistem HVAC (Heating, Ventilation, and Air Conditioning) untuk gedung komersial, pabrik, dan fasilitas infrastruktur kritis. Schneider Electric sendiri adalah perusahaan multinasional asal Prancis yang bergerak di bidang manajemen energi dan otomasi.

Kerentanan CVE-2026-6332 memiliki skor CVSS 3.1 sebesar 5,5 atau kategori sedang. Celah ini dikategorikan sebagai Cleartext Storage of Sensitive Information (CWE-312), yang berarti informasi sensitif termasuk kode sumber yang dilindungi dapat tersimpan dalam bentuk teks biasa dan dapat diakses oleh penyerang.

Dampak dan Lingkup

Menurut advisory CISA yang diterbitkan pada 28 Mei 2026, kerentanan ini dapat dieksploitasi oleh penyerang yang sudah memiliki akses lokal dan otorisasi. Ketika dieksploitasi, celah ini dapat mengungkapkan informasi sensitif dan kode sumber yang dilindungi dari perangkat lunak tersebut.

Yang membuat kerentanan ini perlu diperhatikan adalah lingkup sektor yang terdampak. CISA menyebutkan empat sektor infrastruktur kritis yang menggunakan produk ini, yaitu kimia, manufaktur kritis, energi, serta air dan pengolahan limbah. Produk ini digunakan secara global, artinya potensi dampaknya tidak terbatas pada satu wilayah saja.

Schneider Electric melaporkan kerentanan ini melalui Schneider Electric CPCERT dan segera merilis perbaikan. Versi yang terdampak adalah semua versi sebelum 1.10.0, dan perbaikan sudah tersedia dalam versi 1.10.0 yang dapat diunduh dari situs resmi Schneider Electric.

Rekomendasi untuk Pengguna

Schneider Electric dan CISA merekomendasikan beberapa langkah keamanan bagi pengguna produk ini. Pertama, isolasi jaringan kontrol dan keselamatan di balik firewall dari jaringan bisnis. Perangkat kontrol sebaiknya tidak dapat diakses dari internet dan ditempatkan dalam lemari terkunci.

Kedua, perangkat lunak pemrograman tidak boleh dihubungkan ke jaringan selain jaringan perangkat yang dituju. Semua metode pertukaran data mobile seperti USB harus dipindai sebelum digunakan pada jaringan terisolasi.

Ketiga, untuk akses jarak jauh, gunakan metode aman seperti VPN yang selalu diperbarui. Pengingat bahwa keamanan VPN bergantung pada perangkat yang terhubung melaluinya.

Konteks yang lebih luas, kerentanan jenis cleartext storage bukanlah hal baru di dunia ICS (Industrial Control System). Pada 2024 dan 2025, CISA telah menambahkan ratusan kerentanan serupa ke dalam katalog Known Exploited Vulnerabilities (KEV). Pola yang berulang adalah perangkat lunak industri sering kali menyimpan data sensitif tanpa enkripsi yang memadai, karena desain awalnya lebih mengutamakan kemudahan akses dan kompatibilitas dibanding keamanan.

Bagi pengelola fasilitas di Indonesia yang menggunakan produk Schneider Electric, advisory ini layak diperhatikan. Banyak pabrik, gedung komersial, dan fasilitas pengolahan air di Tanah Air yang mengandalkan sistem otomasi dari Schneider Electric. Memastikan versi perangkat lunak selalu diperbarui dan jaringan kontrol terisolasi dari internet adalah langkah dasar yang tidak boleh diabaikan.

Kerentanan ini menjadi pengingat bahwa perangkat lunak industri bukanlah target yang bisa diabaikan dalam strategi keamanan siber. Dengan semakin banyaknya perangkat industri yang terhubung ke jaringan, menjaga keamanan lapisan pemrograman dan konfigurasi menjadi sama pentingnya dengan mengamankan perangkat itu sendiri.***