Software Schneider Electric Punya Celah Penyimpanan Data Terbuka, Kode Sumber Pabrik Berisiko Bocor

CLB.my.id - Badan Keamanan Siber AS (CISA) menerbitkan advisory terbaru yang mengungkap kerentanan pada software EcoStruxure Machine Expert HVAC buatan Schneider Electric. Celah ini memungkinkan penyerang yang sudah memiliki akses ke sistem untuk membaca informasi sensitif yang seharusnya terlindungi, termasuk kode sumber perangkat lunak pengendali pabrik.

Kerentanan ini tercatat dengan nomor CVE-2026-6332 dan mendapat skor CVSS v3.1 sebesar 5,5 atau kategori keparahan sedang. Meski skornya tidak masuk kategori kritis, dampaknya cukup serius karena menyangkut kebocoran informasi yang bisa dimanfaatkan untuk serangan lebih lanjut.

Apa Itu EcoStruxure Machine Expert HVAC

EcoStruxure Machine Expert HVAC adalah perangkat lunak pemrograman yang digunakan untuk mengendalikan logic controller Modicon M171 dan M172 dari Schneider Electric. Logic controller ini banyak dipakai di berbagai sektor infrastruktur kritis, mulai dari industri kimia, manufaktur, energi, hingga pengelolaan air dan limbah.

Software ini dipasang secara global dan menjadi tulang punggung sistem otomasi di banyak fasilitas industri. Ketika kode sumber dari software seperti ini bocor, penyerang bisa mempelajari kelemahan sistem dari dalam dan merancang serangan yang lebih terarah.

Detail Teknis Celah

Menurut advisory CISA yang diterbitkan pada 28 Mei 2026, masalah utama terletak pada penyimpanan informasi sensitif dalam bentuk teks biasa atau cleartext. CWE-312, yaitu kategori kelemahan untuk cleartext storage, menjadi akar masalah ini.

Dalam skenario serangan, penyerang yang sudah memiliki akses otorisasi untuk mengedit atau mengkompilasi kode bisa membaca informasi sensitif yang tersimpan tanpa enkripsi. Celah ini bersifat lokal, artinya penyerang harus sudah berada di dalam jaringan atau memiliki akses fisik ke mesin yang menjalankan software tersebut.

CVE-2026-6332 dilaporkan langsung oleh Schneider Electric CPCERT kepada CISA, menunjukkan bahwa vendor sudah mengetahui masalah ini dan mengambil langkah mitigasi.

Versi yang Terdampak dan Solusi

Semua versi EcoStruxure Machine Expert HVAC sebelum 1.10.0 terdampak oleh kerentanan ini. Schneider Electric sudah merilis pembaruan versi 1.10.0 yang memperbaiki masalah tersebut. Pengguna bisa mengunduh pembaruan langsung dari situs resmi Schneider Electric.

Bagi operator fasilitas yang belum bisa langsung memperbarui, Schneider Electric menyarankan beberapa langkah mitigasi sementara. Pertama, isolasi sistem kontrol dan keselamatan di balik firewall yang terpisah dari jaringan bisnis. Kedua, gunakan kontrol fisik dan lemari terkunci untuk perangkat controller. Ketiga, pindai semua media pertukaran data sebelum digunakan di jaringan yang terisolasi.

Rekomendasi CISA untuk Infrastruktur Kritis

CISA menambahkan rekomendasi tambahan bagi organisasi yang menggunakan produk ini di sektor infrastruktur kritis. Paparan jaringan untuk sistem kontrol harus diminimalkan dan dipastikan tidak bisa diakses dari internet. Setiap langkah defensif harus didahului dengan analisis dampak untuk menghindari gangguan operasional.

Untuk akses jarak jauh, CISA menyarankan penggunaan VPN yang selalu diperbarui. Aktivitas mencurigakan yang diduga berasal dari eksploitasi celah ini harus segera dilaporkan ke CISA.

Advisory ini merupakan republikan dari advisory vendor SEVD-2026-132-01 yang awalnya dirilis oleh Schneider Electric pada 12 Mei 2026. CISA menerbitkan ulang untuk memperluas jangkauan informasi kepada organisasi yang mungkin tidak berlangganan langsung dari vendor.

Pentingnya Keamanan Software Industri

Kasus ini menambah daftar panjang kerentanan yang ditemukan di software industri. Tahun 2026 saja, CISA sudah menerbitkan puluhan advisory untuk produk ICS dari berbagai vendor global. Pola yang sama terus berulang: informasi sensitif disimpan tanpa enkripsi, kredensial default masih aktif, atau kode debug tertinggal di produk final.

Bagi perusahaan di Indonesia yang menggunakan produk Schneider Electric di fasilitas manufaktur atau pengelolaan air, advisory ini layak menjadi perhatian serius. Pembaruan ke versi 1.10.0 sebaiknya dijadwalkan sesegera mungkin, terutama untuk sistem yang terhubung ke jaringan yang lebih luas.