NavBox Punya Kredensial Tersembunyi, Sistem Navigasi Kapal Bisa Disabotase dari Dalam

CLB.my.id - Sebuah celah keamanan ditemukan di NAVTOR NavBox, perangkat navigasi maritim yang dipakai oleh armada pengiriman di seluruh dunia. Badan Keamanan Siber AS (CISA) mengungkap bahwa perangkat ini menyimpan kredensial keras (hard-coded credentials) yang bisa diekstrak penyerang lokal untuk mengambil alih sistem.

Apa Itu NAVTOR NavBox?

NAVTOR adalah perusahaan teknologi maritim asal Norwegia yang menyediakan solusi navigasi digital untuk industri perkapalan. Produk andalannya, NavBox, berfungsi sebagai gateway yang menghubungkan berbagai sistem navigasi di atas kapal dengan layanan berbasis cloud. Perangkat ini digunakan di sektor infrastruktur kritis bidang teknologi informasi dan sudah diterapkan di berbagai negara di seluruh dunia.

NavBox memungkinkan pertukaran data otomatis antara sistem onboard dan platform manajemen pelayaran. Dengan kata lain, perangkat ini adalah jantung digital yang mengatur bagaimana data navigasi mengalir dari kapal ke darat dan sebaliknya.

Detail Celah yang Ditemukan

CISA merilis advisory ICSA-26-155-01 pada 4 Juni 2026 yang mengungkap kerentanan dengan nomor CVE-2026-21404. Celah ini berada di implementasi Windows Communication Foundation (WCF) berbasis SOAP pada NavBox versi 4.16.1.20 dan di bawahnya.

Skor CVSS v3.1 yang diberikan adalah 6,3 (tingkat MEDIUM), dengan vektor serangan lokal (AV:L), kompleksitas tinggi (AC:H), dan memerlukan hak akses rendah (PR:L). Meskipun skornya tidak termasuk kritis, dampaknya cukup serius karena menyangkut integritas dan ketersediaan sistem navigasi.

Inti masalahnya adalah kredensial yang tertanam langsung di dalam kode perangkat lunak. Ketika fungsi SOAP diaktifkan, seorang penyerang dengan akses lokal dapat mengekstrak kredensial tersebut untuk melewati prosedur transfer data yang seharusnya terproteksi.

Dampak Potensial

Setelah berhasil diautentikasi melalui antarmuka SOAP menggunakan kredensial curian, penyerang mendapatkan akses ke metode WCF berprivilese. Akses ini memungkinkan penyerang untuk menulis atau menimpa file pada path yang ditentukan oleh aplikasi.

Dalam konteks sistem navigasi maritim, kemampuan untuk memodifikasi file aplikasi bisa berujung pada manipulasi data navigasi, gangguan operasional kapal, atau bahkan sabotase jalur pelayaran. Meskipun serangan ini tidak dapat dilakukan dari jarak jauh dan kompleksitasnya tergolong tinggi, ancamannya tetap nyata terutama di lingkungan di mana akses fisik ke perangkat tidak selalu terkontrol ketat.

CISA mencatat bahwa hingga advisory ini diterbitkan, belum ada laporan eksploitasi aktif yang diketahui. Namun, sifat celah yang melibatkan kredensial tersembunyi membuatnya berpotensi menjadi target menarik bagi aktor ancaman yang menargetkan sektor maritim.

Perbaikan dari NAVTOR

NAVTOR telah merilis patch pada April 2026 dan memperbarui NavBox ke versi 4.17.2.6 atau yang lebih baru. Kabar baiknya, pengguna yang memiliki koneksi NavBox aktif akan menerima pembaruan secara otomatis tanpa perlu tindakan manual dari operator kapal.

Hal ini mengurangi risiko jangka panjang secara signifikan, mengingat sifat industri maritim yang seringkali menghadapi tantangan dalam mengelola pembaruan perangkat lunak di tengah laut.

Rekomendasi CISA

Selain menginstal patch terbaru, CISA menyarankan beberapa langkah defensif tambahan bagi operator yang menggunakan sistem kontrol industri. Pertama, minimalkan paparan jaringan dan pastikan sistem navigasi tidak dapat diakses dari internet. Kedua, isolasi jaringan sistem kontrol di balik firewall dan pisahkan dari jaringan bisnis umum.

Ketiga, gunakan metode akses jarak jauh yang aman seperti VPN dan pastikan VPN selalu diperbarui. Keempat, lakukan analisis dampak dan penilaian risiko sebelum menerapkan langkah defensif tambahan.

Kerentanan ini ditemukan dan dilaporkan kepada CISA oleh Cydome Security Ltd, perusahaan keamanan siber yang berfokus pada sektor maritim. Temuan ini menjadi pengingat bahwa bahkan perangkat yang dirancang untuk infrastruktur kritis pun bisa menyimpan kelemahan mendasar dalam desain keamanannya.