Perekam Data Pelayaran Punya Celah Serius, Peretas Bisa Kuasai Alat Vital Kapal

CLB.my.id - Badan keamanan siber Amerika Serikat CISA mengungkap kerentanan pada perangkat Voyage Data Recorder G4e buatan MacGregor yang digunakan di kapal-kapal di seluruh dunia. Jika dieksploitasi, penyerang bisa mendapatkan akses administrator penuh ke perangkat yang merekam semua data navigasi dan komunikasi kapal tersebut.

Apa Itu Voyage Data Recorder?

Voyage Data Recorder atau VDR adalah kotak hitam versi maritim. Perangkat ini wajib dipasang di kapal-kapal komersial sesuai regulasi Organisasi Maritim Internasional IMO. VDR merekam data navigasi, komunikasi radio, kondisi mesin, dan perintah di anjungan. Data ini menjadi bukti kritis saat terjadi kecelakaan atau insiden di laut.

MacGregor, yang kini berada di bawah naungan Danelec, memproduksi VDR G4e untuk berbagai jenis kapal. Perangkat ini tersebar di seluruh dunia dan menjadi standar di industri pelayaran.

Detail Kerentanan

CISA menerbitkan advisory ICSA-26-148-01 pada 28 Mei 2026 yang merangkum kerentanan pada VDR G4e. Berdasarkan skor CVSS v3 sebesar 8.3, kerentanan ini tergolong tinggi. Kombinasi kelemahan yang ditemukan mencakup penggunaan kredensial default atau bawaan pabrik, kredensial yang tidak terlindungi dengan baik, hash kata sandi dengan tingkat komputasi yang lemah, serta sandi keras yang tertanam langsung di firmware.

Semua versi VDR G4e sebelum V5.250 terpengaruh oleh kerentanan ini. Dampaknya sangat serius karena penyerang yang berhasil mengeksploitasi kelemahan ini bisa mendapatkan akses administrator ke perangkat.

Mengapa Ini Berbahaya?

Dengan akses administrator ke VDR, penyerang bisa memanipulasi atau menghapus data pelayaran yang terekam. Dalam skenario terburuk, bukti navigasi dan komunikasi bisa dimodifikasi tanpa jejak. Hal ini menjadi masalah serius untuk investigasi kecelakaan maritim, sengketa asuransi, dan kepatuhan regulasi.

Lebih jauh lagi, akses ke perangkat yang terhubung ke jaringan kapal bisa menjadi pintu masuk ke sistem kontrol lainnya. Jaringan di kapal modern menghubungkan VDR dengan sistem navigasi, mesin, dan komunikasi satelit. Satu perangkat yang terkompromi bisa membuka celah ke seluruh sistem.

Siapa yang Terdampak?

Operator kapal di seluruh dunia yang menggunakan VDR G4e dari MacGregor perlu segera memeriksa versi firmware perangkat mereka. Bagi industri maritim Indonesia yang merupakan negara kepulauan terbesar di dunia dengan ribuan kapal komersial, advisory ini layak mendapat perhatian khusus.

Pelabuhan Tanjung Priok, Tanjung Perak, dan Makassar yang melayani lalu lintas kapal internasional kemungkinan memiliki kapal-kapal yang menggunakan perangkat ini. Perusahaan pelayaran nasional maupun agen perkapalan disarankan berkoordinasi dengan vendor untuk memastikan perangkat sudah diperbarui.

Mitigasi dan Rekomendasi

CISA merekomendasikan beberapa langkah mitigasi standar untuk perangkat kontrol industri. Jaringan perangkat harus diisolasi dari akses internet. Akses jarak jauh harus menggunakan VPN yang terbaru. Perangkat juga harus dilindungi secara fisik dari akses tidak sah.

Yang krusial adalah segera memperbarui firmware ke versi V5.250 atau yang lebih baru. Operator yang belum bisa memperbarui segera harus memastikan kredensial default sudah diganti dan akses jaringan ke perangkat dibatasi seminimal mungkin.

Status Terkini

Advisory ini pertama kali dirilis pada 28 Mei 2026. Tidak ada laporan eksploitasi aktif yang diketahui saat ini. Namun, mengingat perangkat ini beroperasi di lingkungan maritim yang sering kali memiliki konektivitas terbatas dan jadwal pemeliharaan yang ketat, patching bisa menjadi tantangan tersendiri. Operator disarankan menjadwalkan pembaruan sesegera mungkin pada jadwal docking berikutnya.