Perangkat Navigasi Kapal Punya Celah Kritis, Sandi Raasia Bisa Dieksploitasi dari Dalam Kapal

CLB.my.id - Badan Keamanan Siber AS (CISA) baru saja mengumumkan celah keamanan pada perangkat NavBox buatan NAVTOR, perusahaan teknologi maritim asal Norwegia yang produknya dipasang di kapal-kapal di seluruh dunia. Celah ini memungkinkan orang dalam mengakses sistem navigasi kapal dan menimpa file penting hanya dengan memanfaatkan sandi yang tertanam langsung di perangkat lunak.

Sebuah peringatan dikeluarkan oleh Cybersecurity and Infrastructure Security Agency (CISA) pada 4 Juni 2026 lalu. Lembaga keamanan siber pemerintah Amerika Serikat itu mengungkap adanya kerentanan pada NavBox, perangkat keras dan lunak yang menjadi jantung sistem navigasi digital di kapal-kapal komersial. Kerentanan ini diberi kode CVE-2026-21404 dengan skor CVSS 6,3 atau berkategori sedang.

NavBox sendiri adalah produk unggulan NAVTOR, perusahaan yang bermarkas di Egersund, Norwegia. Perangkat ini berfungsi sebagai pusat data navigasi yang menghubungkan kapal dengan layanan digital seperti peta laut elektronik, pelacakan armada, dan pelaporan otomatis. Dengan kata lain, NavBox adalah otak digital yang memastikan kapal bisa berlayar dengan aman dan efisien.

Apa yang Salah?

Masalahnya ada pada implementasi Windows Communication Foundation (WCF) berbasis SOAP di NavBox versi 4.16.1.20 dan di bawahnya. Menurut dokumen advisory CISA, perangkat lunak ini menyimpan kredensial atau sandi secara langsung di dalam kode program. Istilah teknisnya adalah hard-coded credentials (CWE-798), yaitu keadaan di mana kata sandi atau kunci autentikasi ditanamkan permanen dalam source code sehingga siapa pun yang mengakses kode tersebut bisa menemukan sandinya.

Kerentanan ini ditemukan oleh Cydome Security Ltd., sebuah perusahaan keamanan siber yang berfokus pada sektor maritim. Mereka melaporkan temuan ini kepada CISA yang kemudian menerbitkan advisory resmi.

Dengan memanfaatkan sandi yang tertanam itu, seorang penyerang yang sudah berada di dalam jaringan lokal kapal bisa mengakses metode-metode SOAP yang seharusnya terproteksi. Akses ini membuka kemampuan untuk menulis atau menimpa file di lokasi yang sudah ditentukan oleh aplikasi. Dalam konteks sistem navigasi kapal, kemampuan ini bisa berarti mengubah konfigurasi, memanipulasi data navigasi, atau bahkan mengganggu operasional kapal.

Siapa yang Terancam?

Perlu dicatat bahwa serangan ini bersifat lokal, bukan dari jarak jauh. Artinya, penyerang harus sudah memiliki akses ke jaringan internal kapal, misalnya melalui koneksi fisik atau sebagai kru kapal itu sendiri. Selain itu, tingkat kesulitan serangan tergolong tinggi (high attack complexity), sehingga tidak semudah membalik tangan untuk mengeksploitasinya.

Namun, konteks maritim membuat risiko ini tetap serius. Kapal-kapal komersial beroperasi selama berminggu-minggu bahkan berbulan-bulan di laut dengan kru terbatas. Jaringan onboard sering kali tidak seketat jaringan kantor atau data center. Kombinasi antara kredensial yang bocor dan lingkungan jaringan yang kurang terawat bisa menjadi celah yang dimanfaatkan oleh pihak-pihak yang tidak bertanggung jawab.

NAVTOR sudah merilis perbaikan di versi 4.17.2.6 pada April 2026. Kabar baiknya, NavBox yang terhubung ke jaringan NAVTOR akan diperbarui secara otomatis tanpa perlu tindakan manual dari pemilik kapal. Ini berarti kapal-kapal yang masih aktif terkoneksi seharusnya sudah menerima patch keamanan tersebut.

Rekomendasi CISA

CISA dalam advisory-nya menyarankan beberapa langkah pertahanan yang relevan untuk lingkungan maritim. Pertama, minimalkan paparan jaringan sistem kontrol dan pastikan perangkat tidak bisa diakses dari internet. Kedua, pisahkan jaringan sistem navigasi dari jaringan bisnis atau hiburan di kapal menggunakan firewall. Ketiga, jika diperlukan akses jarak jauh, gunakan VPN yang selalu diperbarui ke versi terbaru.

Selain itu, CISA juga mengingatkan agar operator kapal mewaspadai rekayasa sosial, tidak membuka tautan atau lampiran dari email yang tidak dikenal, dan melakukan analisis risiko sebelum menerapkan langkah pertahanan tertentu.

Konteks Lebih Luas

Kerentanan pada perangkat maritim bukan hal baru, tetapi frekuensinya terus meningkat seiring digitalisasi industri pelayaran. Sistem yang dulunya analog dan terisolasi kini terhubung ke internet untuk efisiensi operasional, namun keamanan sernya tidak selalu mengikuti perkembangan tersebut. Kasus NavBox ini menjadi pengingat bahwa bahkan perangkat dari vendor besar sekalipun bisa menyimpan kelemahan mendasar seperti sandi yang ditanam langsung di kode.

Bagi industri maritim Indonesia yang armadanya terus bertumbuh, kasus ini layak menjadi perhatian. Perusahaan pelayaran yang menggunakan produk NAVTOR disarankan untuk segera memastikan versi NavBox mereka sudah diperbarui dan mengikuti rekomendasi mitigasi dari CISA.