Sistem Historian Rockwell Punya Celah Autentikasi Kritis, Penyerang Bisa Curi Token Akses

CLB.my.id - Rockwell Automation merilis patch untuk tiga kerentanan tingkat tinggi dan kritis pada perangkat lunak FactoryTalk Historian Site Edition. Celah keamanan ini memungkinkan penyerang melewati mekanisme autentikasi dan mendapatkan token akses valid tanpa kredensial yang sah.

FactoryTalk Historian adalah platform pengumpulan dan penyimpanan data operasional yang banyak digunakan di lingkungan industri manufaktur, energi, dan infrastruktur kritis. Perangkat lunak ini berfungsi sebagai repositori pusat untuk data historis dari berbagai sistem kontrol industri (ICS).

Kerentanan paling kritis tercatat dengan nomor CVE-2025-13036, yang mendapat skor CVSS v3 sebesar 9,8 dari 10. Celah ini memungkinkan penyerang mendapatkan token autentikasi yang valid dengan terus-menerus mengirim permintaan ke endpoint login. Serangan ini tidak memerlukan autentikasi sebelumnya atau interaksi pengguna, dan dapat dilakukan dari jaringan mana pun yang bisa mengakses sistem target.

Tiga Celah yang Ditemukan

Rockwell mengatasi tiga kerentanan pada FactoryTalk Historian Site Edition, masing-masing dengan tingkat keparahan tinggi hingga kritis. Selain CVE-2025-13036, terdapat dua celah denial-of-service (DoS) yang dapat mengganggu ketersediaan sistem penyimpanan data operasional.

CVE-2025-13036 dikategorikan sebagai CWE-362, yaitu kerentanan kelas race condition pada eksekusi bersama yang menggunakan sumber daya bersama. Penyerang dapat memanfaatkan kondisi ini dengan mengirim permintaan berulang ke endpoint login, menyebabkan keadaan autentikasi yang tidak tepat atau perilaku penerbitan token.

“Rockwell Automation menginformasikan kepada pelanggan bahwa patch sudah tersedia untuk beberapa kerentanan yang mempengaruhi pengontrol Logix dan CompactLogix, adapter Flex I/O dual-port Ethernet/IP, perangkat lunak komunikasi industri RSLinx, dan rangkaian otomasi FactoryTalk,” lapor SecurityWeek.

Dampak untuk Lingkungan Industrial

Kerentanan autentikasi bypass pada FactoryTalk Historian sangat mengkhawatirkan karena historian sering berfungsi sebagai repositori pusat untuk data operasional. Jika penyerang berhasil mendapatkan akses, mereka bisa memanipulasi data historis yang digunakan untuk pengambilan keputusan operasional, audit kepatuhan, dan analisis kinerja.

Selain FactoryTalk Historian, Rockwell juga mengatasi kerentanan pada produk FactoryTalk Analytics PavilionX yang terpengaruh oleh masalah otorisasi API yang tidak tepat. Celah ini memungkinkan aktor tidak berwenang menjalankan operasi berhak istimewa, termasuk manajemen pengguna dan peran serta modifikasi izin.

Untuk produk Logix dan GuardLogix, Rockwell merilis patch untuk kerentanan DoS yang dapat menyebabkan fault besar yang tidak dapat dipulihkan dan memerlukan program pemulihan khusus. Beberapa pengontrol CompactLogix juga terpengaruh oleh dua masalah DoS tambahan.

Belum Ada Eksploitasi di Lapangan

Rockwell mengonfirmasi bahwa tidak ada kerentanan baru yang telah dieksploitasi oleh aktor ancaman di lapangan. Namun, perusahaan baru-baru ini mengonfirmasi eksploitasi nyata dari kerentanan lama yang dilacak dengan nomor CVE-2021-22681, yang menunjukkan bahwa sistem industri tetap menjadi target menarik bagi penyerang.

Menariknya, CISA tidak menerbitkan penasihat terpisah untuk kerentanan FactoryTalk Historian meskipun tingkat keparahannya tinggi. CISA mendistribusikan penasihat Rockwell tetapi tidak mengeluarkan peringatan khusus untuk celah ini.

Rekomendasi untuk Operator Industri

Rockwell merekomendasikan agar organisasi yang menggunakan produk terpengaruh segera menerapkan patch yang tersedia. Jika patching tidak dapat dilakukan segera, langkah mitigasi sementara meliputi mengurangi paparan endpoint login FactoryTalk Historian ke jaringan yang tidak tepercaya, membatasi akses melalui segmentasi jaringan dan daftar putih, serta menempatkan layanan di belakang kontrol akses jarak jauh yang terotentikasi seperti VPN.

Operator juga disarankan meningkatkan pemantauan terhadap permintaan autentikasi berfrekuensi tinggi yang tidak normal atau penerbitan token yang mencurigakan. Penasihat lengkap tersedia di situs kepercayaan Rockwell Automation dengan nomor SD1773.

Ancaman terhadap sistem industri terus meningkat seiring semakin terhubungnya jaringan operasional. Patch proaktif dan segmentasi jaringan yang ketat menjadi langkah pertahanan paling penting untuk melindungi infrastruktur kritis dari serangan siber.***