A CISA publicou nesta quinta-feira, 4 de junho, um alerta sobre a vulnerabilidade CVE-2026-21404 no sistema de navegação marítima NAVTOR NavBox, que contém credenciais permanentes codificadas no firmware. A falha permite que atacantes locais obtenham acesso não autorizado a métodos SOAP, podendo interromper operações de navios ao redor do mundo.
Detalhes da vulnerabilidade
A falha CVE-2026-21404 recebeu pontuação CVSS v3 de 6,3 e consiste no uso de credenciais fixas (hard-coded credentials) no firmware do NavBox. Isso significa que qualquer pessoa com acesso à rede local do navio pode utilizar essas credenciais embutidas para se autenticar em métodos SOAP do sistema de navegação.
O NavBox é um equipamento de navegação digital usado em embarcações comerciais ao redor do mundo, responsável pela gestão de rotas, cartas náuticas eletrônicas e dados de navegação. O sistema opera em setores de infraestrutura crítica marítima e é fabricado pela NAVTOR, empresa sediada na Noruega, com implantação global. O alerta segue a mesma linha de advisories recentes da CISA sobre falhas com exploração ativa.
Impacto na navegação marítima
A exploração bem-sucedida da vulnerabilidade pode resultar em interrupção das operações de navegação. Um atacante com acesso à rede de bordo pode manipular dados de navegação, comprometendo a integridade das rotas e cartas eletrônicas exibidas aos oficiais de navegação.
Em ambiente marítimo, a interrupção dos sistemas de navegação representa risco direto à segurança da embarcação e da tripulação. A dependência de sistemas digitais integrados amplifica o impacto: uma única vulnerabilidade num componente pode afetar toda a cadeia de navegação.
CVEs relacionadas ao NavBox
A CVE-2026-21404 não é a única falha identificada no NavBox, e o caso reforça a importância de manter os sistemas atualizados diante de catalogações crescentes de CVEs explorados ativamente. A empresa de cibersegurança marítima Cydome havia detectado previamente vulnerabilidades de path traversal e problemas de autenticação no mesmo equipamento, incluindo a CVE-2026-2754, que permite divulgação não autorizada de informações.
| CVE | Tipo de falha | CVSS | Versão afetada | Status |
|---|---|---|---|---|
| CVE-2026-21404 | Credenciais fixas no firmware | 6,3 | NavBox 4.16.1.20 | Corrigida na 4.16.2.4 |
| CVE-2026-2754 | Divulgação de informações | — | NavBox (múltiplas) | Corrigida na 4.16.2.4 |
A NAVTOR confirmou que todas as vulnerabilidades foram corrigidas na versão NavBox 4.16.2.4 e posteriores, lançada após a divulgação coordenada com a CISA.
Como mitigar a falha
Armadores e operadores de embarcações que utilizam o NAVTOR NavBox devem adotar as seguintes medidas:
- Atualize o firmware imediatamente: instale a versão 4.16.2.4 ou superior do NavBox em todas as embarcações. Esta versão elimina as credenciais fixas e corrige as demais vulnerabilidades identificadas.
- Segmentação de rede de bordo: isole os sistemas de navegação em segmentos de rede separados, com controles de acesso que limitem quais dispositivos podem se comunicar com o NavBox.
- Monitoramento de tráfego SOAP: implemente monitoramento de chamadas SOAP anormais no tráfego da rede de navegação, configurando alertas para padrões de acesso fora do horário ou volume atípico.
- Auditoria de acessos físicos e lógicos: restrinja o acesso físico a equipamentos de navegação e revise permissões de rede para garantir que apenas sistemas autorizados interajam com o NavBox.