Celah Kredensial Hardcode di NAVTOR NavBox Ancam Operasional Kapal Laut Seluruh Dunia
Celah Kredensial Hardcode di NAVTOR NavBox Ancam Operasional Kapal Laut Seluruh Dunia
Meta Description: CISA menemukan celah kredensial hardcode di NAVTOR NavBox yang dipakai kapal laut global. Penyerang lokal bisa ganggu operasional dari dalam.
CLB.my.id - Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) menerbitkan advisory baru yang mengungkap kerentanan pada NAVTOR NavBox, perangkat navigasi maritim yang digunakan di kapal-kapal di seluruh dunia. Kerentanan ini memungkinkan penyerang lokal mendapatkan akses tidak sah ke metode SOAP (Simple Object Access Application) yang berpotensi mengganggu operasional kapal.
NAVTOR NavBox versi 4.16.1.20 terdampak oleh kerentanan yang diberi kode CVE-2026-21404 dengan skor CVSS v3.1 sebesar 6,3 atau tingkat MEDIUM. Kerentanan ini dikategorikan sebagai CWE-798, yaitu penggunaan kredensial yang disematkan langsung di dalam kode perangkat lunak (hard-coded credentials).
Detail Teknis Kerentanan
Kerentanan berada pada implementasi Windows Communication Foundation (SOAP) di dalam NavBox. Vektor serangan bersifat lokal, artinya penyerang harus memiliki akses fisik atau jaringan lokal ke perangkat untuk bisa mengeksploitasi kelemahan ini. Kompleksitas serangan tergolong tinggi, tetapi dampaknya signifikan terhadap integritas dan ketersediaan sistem.
Jika berhasil dieksploitasi, penyerang bisa menulis atau menimpa file di dalam sistem. Ini berarti data navigasi, log perjalanan, atau konfigurasi perangkat bisa dimanipulasi. Dalam konteks maritim, gangguan terhadap data navigasi bisa berimplikasi pada keselamatan pelayaran, meskipun sistem navigasi utama kapal biasanya memiliki redundansi.
CISA mencatat bahwa kerentanan ini tidak dapat dieksploitasi dari jauh (remote) dan tidak ada eksploitasi publik yang diketahui saat advisory diterbitkan. Namun, kredensial hardcode yang tersimpan di firmware tetap menjadi risiko karena bisa diekstrak oleh penyerang yang memiliki akses ke perangkat.
NAVTOR dan Peran NavBox di Maritim Global
NAVTOR adalah perusahaan teknologi maritim yang berkantor pusat di Norwegia. NavBox adalah perangkat yang memungkinkan transfer data navigasi dan komunikasi antara kapal dan daratan. Perangkat ini digunakan oleh perusahaan pelayaran di seluruh dunia untuk mematuhi regulasi maritim internasional, termasuk persyaratan pertukaran data elektronik (e-Navigation).
Sistem NAVTOR terhubung ke infrastruktur TI kritis sektor transportasi maritim. Gangguan terhadap operasional NavBox bisa berdampak pada efisiensi logistik rantai pasok global, mengingat sebagian besar perdagangan internasional bergantung pada transportasi laut.
Patch dan Mitigasi
NAVTOR telah merilis pembaruan perangkat lunak pada April 2026 yang menyelesaikan kerentanan ini. Versi yang sudah diperbaiki adalah NavBox 4.17.2.6 dan yang lebih baru. Bagi pengguna dengan koneksi NavBox aktif, tidak diperlukan tindakan tambahan karena pembaruan diterapkan secara otomatis.
CISA tetap merekomendasikan langkah-langkah mitigasi tambahan termasuk meminimalkan paparan jaringan dengan memastikan sistem kontrol tidak dapat diakses dari internet, mengisolasi jaringan dengan menempatkan sistem kontrol di balik firewall dan memisahkannya dari jaringan bisnis, serta menggunakan VPN yang selalu diperbarui untuk akses jarak jauh.
Konteks Keamanan Maritim
Advisory ini diterbitkan bersamaan dengan sejumlah advisory CISA lainnya untuk perangkat infrastruktur kritis, termasuk Hitachi Energy MACH HiDraw, B&R PPT30 OS, dan Hitachi Energy ITT600 Explorer. Konsentrasi advisory ini menunjukkan bahwa sektor maritim dan infrastruktur kritis semakin menjadi fokus perhatian keamanan siber.
Peneliti keamanan dari Cydome Security Ltd. yang melaporkan kerentanan ini menekankan pentingnya audit keamanan berkala untuk perangkat maritim yang terhubung ke jaringan. Seiring digitalisasi industri maritim, permukaan serangan juga ikut membesar.
Dampak bagi Industri Maritim Indonesia
Indonesia sebagai negara kepulauan terbesar di dunia dengan ribuan kapal yang beroperasi setiap hari memiliki kepentingan langsung terhadap keamanan perangkat navigasi maritim. Banyak perusahaan pelayaran nasional yang menggunakan sistem navigasi digital modern untuk efisiensi operasional dan kepatuhan terhadap regulasi internasional.
Kerentanan seperti yang ditemukan di NAVTOR NavBox menjadi pengingat bahwa perangkat maritim yang terhubung ke jaringan memerlukan perhatian keamanan yang serius. Perusahaan pelayaran Indonesia disarankan untuk memastikan semua perangkat navigasi digital mereka selalu diperbarui ke versi terbaru dan tidak terhubung langsung ke internet publik tanpa perlindungan firewall yang memadai.
Kementerian Perhubungan dan otoritas pelabuhan juga perlu mempertimbangkan standar keamanan siber untuk perangkat navigasi yang digunakan di kapal-kapal berbendera Indonesia. Dengan semakin banyaknya kapal yang mengadopsi teknologi digital untuk efisiensi operasional, investasi dalam keamanan siber maritim bukan lagi pilihan, melainkan kebutuhan mendesak.***
