Sandi Admin Tertanam di Firmware Konverter Jaringan, Skor Keamanan Mencapai 9.8

CLB.my.id - CISA mengungkap kerentanan kritis pada USR-W610, konverter RS232/485 ke Wi-Fi dan Ethernet buatan perusahaan China Jinan USR IOT Technology. Skor CVSS mencapai 9.8 dari 10, level tertinggi yang bisa diberikan. Masalahnya sederhana tetapi fatal: sandi administrator tertulis langsung di dalam firmware perangkat dan bisa dibaca oleh siapa saja yang mengunduh file firmware tersebut.

Apa Itu USR-W610?

USR-W610 adalah perangkat konverter yang menghubungkan perangkat industri berbasis RS232 atau RS485 dengan jaringan Wi-Fi dan Ethernet. Perangkat semacam ini banyak dipakai di pabrik, gudang, dan instalasi infrastruktur untuk menghubungkan sensor, PLC, dan perangkat lama ke jaringan modern.

PUSR, merek dagang dari Jinan USR IOT Technology, menjual produk ini ke pasar global. Perangkat ini digunakan di sektor manufaktur kritis yang tersebar di seluruh dunia.

Detail Teknis Kerentanan

Kerentanan ini tercatat dengan nomor CVE-2026-7786 dan dikategorikan sebagai CWE-798 yaitu penggunaan kredensial yang ditanamkan secara langsung. Firmware USR-W610 versi 7.03T.07 mengandung kredensial administrator dalam format teks biasa yang tertanam langsung di image firmware.

Siapa pun yang mendapatkan file firmware bisa mengekstrak sandi tersebut melalui analisis firmware biasa. Kredensial yang diekstrak kemudian bisa digunakan untuk masuk ke layanan perangkat dengan hak akses penuh. Tidak diperlukan keahlian tinggi atau alat khusus untuk melakukan ini.

Skor CVSS 3.1 sebesar 9.8 dengan severity CRITICAL menunjukkan bahwa serangan bisa dilakukan dari jaringan, tanpa kompleksitas tinggi, tanpa hak akses awal, dan tanpa interaksi pengguna. Dampaknya mencakup kerahasiaan, integritas, dan ketersediaan perangkat secara penuh.

Vendor Tidak Merespons

Yang membuat situasi lebih buruk, Jinan USR IOT Technology tidak merespons upaya koordinasi dari CISA. Ini berarti tidak ada patch atau pembaruan keamanan yang tersedia dari vendor saat advisory ini diterbitkan.

Kerentanan ini ditemukan oleh peneliti keamanan Arun Mane dan Omkar Mali yang melaporkannya langsung ke CISA. Tanpa respons dari vendor, mitigasi sepenuhnya menjadi tanggung jawab pengguna perangkat.

Siapa yang Terdampak?

Sektor manufaktur kritis menjadi target utama perangkat ini. Di Indonesia, konverter RS232/485 ke Ethernet banyak dipakai di pabrik manufaktur, instalasi pengolahan air, dan gedung pintar untuk menghubungkan perangkat lama ke sistem monitoring jaringan.

Perangkat yang beredar di pasar Indonesia baik melalui distributor resmi maupun e-commerce perlu segera diperiksa. Tim IT dan OT di perusahaan manufaktur disarankan melakukan inventarisasi untuk mengetahui apakah USR-W610 atau produk PUSR lainnya terpasang di jaringan mereka.

Langkah Mitigasi

Karena vendor tidak merespons dan tidak ada patch yang tersedia, CISA merekomendasikan beberapa langkah mitigasi darurat. Perangkat harus segera diisolasi dari jaringan internet. Akses jaringan ke perangkat harus dibatasi menggunakan firewall dan hanya mengizinkan IP yang benar-benar diperlukan.

VPN harus digunakan untuk setiap akses jarak jauh dan dipastikan selalu diperbarui ke versi terbaru. Jaringan kontrol harus dipisahkan dari jaringan bisnis. Tim keamanan juga disarankan untuk mengganti kredensial default jika memungkinkan, meskipun ini tidak menjamin keamanan penuh mengingat sandi asli sudah tersedia di firmware.

Pertimbangkan untuk mengganti perangkat dengan alternatif dari vendor yang memiliki track record respons keamanan yang lebih baik. Ini mungkin terdengar ekstrem, tetapi perangkat dengan sandi yang tertanam di firmware dan vendor yang tidak kooperatif merupakan risiko yang sulit dimitigasi secara tuntas.

Status Terkini

Advisory CISA ICSA-26-148-02 ini pertama kali dipublikasikan pada 28 Mei 2026. CISA menyatakan bahwa belum ada laporan eksploitasi aktif yang diketahui. Namun, mengingat betapa mudahnya mengekstrak sandi dari firmware dan betapa luasnya distribusi perangkat ini, risiko eksploitasi tetap tinggi. Pengguna disarankan mengambil tindakan mitigasi segera tanpa menunggu respons vendor.