Pintu Otomatis ABB Bisa Dibobol Tanpa Autentikasi, Celah di Mode Kompatibilitas Ancam Gedung Komersial

CLB.my.id - ABB mengungkap kerentanan pada perangkat pembuka pintu otomatis Busch-Welcome 2 Wire yang bisa dimanfaatkan penyerang untuk mendapatkan akses fisik tanpa izin ke dalam gedung. Celah ini tercatat sebagai CVE-2025-7705 dengan skor CVSS 6,8 dan mempengaruhi semua versi dari dua model perangkat yang dipasang di gedung komersial di seluruh dunia.

Masalah utama terletak pada fitur compatibility mode yang aktif secara default di perangkat tersebut. Mode ini ternyata mengandung kode debug aktif yang memungkinkan penyerang melewati proses autentikasi sepenuhnya. Dengan serangan yang bersifat lokal, tanpa memerlukan hak akses khusus, dan tanpa interaksi dari pengguna, penyerang bisa mengambil alih kontrol akses pintu.

Dua Model yang Terdampak

Dua model perangkat ABB yang terdampak adalah Switch Actuator 4 DU dengan nomor bagian 83330 dan Switch actuator, door/light 4 DU dengan nomor bagian 83330-500. Keduanya merupakan bagian dari sistem Busch-Welcome dua kabel yang banyak digunakan untuk mengontrol akses pintu di gedung perkantoran, pusat perbelanjaan, dan fasilitas komersial lainnya.

Karena celah ini bersifat fisik (attack vector AV:P), penyerang harus berada di lokasi perangkat untuk bisa mengeksploitasi kerentanan. Namun, keparahan dampaknya tergolong tinggi karena kompromi terhadap Confidentiality, Integrity, dan Availability masing-masing bernilai H (High). Artinya, penyerang bisa membaca, mengubah, dan mengganggu sistem kontrol akses pintu secara penuh.

Cara Memperbaiki Langsung di Lokasi

ABB tidak merilis patch firmware baru untuk celah ini. Sebagai gantinya, vendor menyediakan prosedur perbaikan langsung di lokasi yang bisa dilakukan oleh teknisi tanpa memerlukan perangkat lunak tambahan.

Prosedurnya relatif sederhana. Pertama, saat sistem Busch-Welcome sedang beroperasi, teknisi perlu mengubah sakelar mode pada aktuator dari posisi Door-Open ke Light. Kemudian tunggu satu detik sebelum mengembalikan sakelar ke posisi Door-Open. Langkah terakhir adalah melakukan power reset dengan mematikan dan menghidupkan ulang daya listrik.

ABB menjelaskan bahwa langkah-langkah ini akan membuat sistem melakukan rekalibrasi saat booting ulang dan secara otomatis memperbaiki konfigurasi yang salah. Vendor merekomendasikan pelanggan untuk menerapkan prosedur ini sesegera mungkin.

Rekomendasi Keamanan Tambahan

Selain prosedur perbaikan di atas, ABB menyarankan pelanggan untuk memeriksa ulang handbook sistem Busch-Welcome dua kabel untuk memastikan instalasi sudah sesuai dengan panduan keamanan terbaru. Pengecekan ini penting karena ada kemungkinan konfigurasi default yang bermasalah sudah terpasang sejak awal instalasi.

CISA menambahkan rekomendasi umum untuk semua sistem kontrol akses bangunan. Paparan jaringan harus diminimalkan dan perangkat kontrol tidak boleh bisa diakses dari internet. Jaringan kontrol harus diisolasi dari jaringan bisnis menggunakan firewall. Untuk akses jarak jauh, VPN yang selalu diperbarui menjadi keharusan.

Relevansi untuk Indonesia

Di Indonesia, sistem kontrol akses pintu otomatis semakin banyak dipasang di gedung perkantoran, apartemen, dan pusat perbelanjaan. Produk ABB termasuk salah satu merek yang cukup dikenal di pasar gedung komersial. Meski celah ini bukan kerentanan kritis yang bisa dieksploitasi dari jarak jauh, risikonya tetap perlu diantisipasi terutama untuk gedung dengan lalu lintas pengunjung tinggi.

Advisory ini diterbitkan ulang oleh CISA pada 28 Mei 2026 berdasarkan advisory asli dari ABB PSIRT dengan nomor 9AKK108471A4556. ABB PSIRT yang pertama kali melaporkan kerentanan ini kepada CISA, menunjukkan proses responsible disclosure yang berjalan dengan baik antara vendor dan badan keamanan siber pemerintah.

Bagi pengelola gedung yang menggunakan sistem Busch-Welcome, langkah paling mendesak adalah menjadwalkan prosedur perbaikan di lokasi. Prosesnya cepat dan tidak memerlukan penggantian perangkat, sehingga gangguan operasional bisa diminimalkan.