สรุปสั้น

สำนักงานความมั่นคงแห่งชาติสหรัฐฯ (National Security Agency หรือ NSA) พร้อมด้วยหน่วยงานพันธมิตรระหว่างประเทศอีก 17 แห่ง ออกคำแนะนำร่วมด้านความมั่นคงปลอดภัยไซเบอร์ (Joint Cybersecurity Advisory) เมื่อวันที่ 9 กรกฎาคม 2026 เตือนว่าผู้ก่อภัยคุกคามที่ได้รับการสนับสนุนจากรัฐบาลรัสเซียยังคงโจมตีโครงสร้างพื้นฐานเครือข่ายที่มีช่องโหว่และตั้งค่าไม่รัดกุมในภาคส่วนสำคัญต่าง ๆ อย่างต่อเนื่อง คำแนะนำที่มีชื่อว่า “Improve Router Hygiene to Protect Against Russian State-Sponsored Targeting” ระบุว่ากลุ่ม Center 16 ของหน่วยงานความมั่นคงกลางรัสเซีย (Federal Security Service หรือ FSB) เป็นผู้ก่อภัยคุกคามที่อยู่เบื้องหลังแคมเปญโจมตีเราเตอร์และสวิตช์ทั่วโลกอย่างต่อเนื่อง

Center 16 ของ FSB ได้เจาะเครือข่ายที่ครอบคลุมทั้งฐานอุตสาหกรรมกลาโหม (Defense Industrial Base) การสื่อสาร พลังงาน บริการทางการเงิน หน่วยงานรัฐ และภาคสาธารณสุข ทั้งในสหรัฐอเมริกาและประเทศพันธมิตร กิจกรรมนี้ต่อยอดจากประกาศบริการสาธารณะของ FBI เมื่อเดือนสิงหาคม 2025 ที่เตือนว่าผู้ก่อภัยไซเบอร์ของรัฐบาลรัสเซียกำลังโจมตีอุปกรณ์เครือข่ายที่เชื่อมโยงกับโครงสร้างพื้นฐานสำคัญอย่างจริงจัง โดยหัวใจของการเจาะระบบคือช่องโหว่ CVE-2018-0171 ซึ่งเป็นช่องโหว่ร้ายแรงใน Cisco Smart Install ที่มีคะแนน CVSS สูงถึง 9.8

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 13 กรกฎาคม พ.ศ. 2569 ว่าช่องโหว่ CVE-2018-0171 เปิดทางให้ผู้โจมตีที่ไม่ต้องยืนยันตัวตนสามารถส่งข้อความที่ประดิษฐ์ขึ้นเป็นพิเศษผ่านพอร์ต TCP 4786 เพื่อกระตุ้นให้อุปกรณ์รีโหลด รันโค้ดจากระยะไกล หรือแก้ไขการตั้งค่าของอุปกรณ์ได้ คำแนะนำร่วมนี้สะท้อนความร่วมมือในวงกว้างอย่างไม่ธรรมดา โดยมีหน่วยงานร่วมลงนาม ได้แก่ CISA, FBI, ศูนย์อาชญากรรมไซเบอร์ของกระทรวงกลาโหม และหน่วยงานด้านไซเบอร์จากออสเตรเลีย แคนาดา นิวซีแลนด์ สหราชอาณาจักร สาธารณรัฐเช็ก เดนมาร์ก เอสโตเนีย ฟินแลนด์ ฝรั่งเศส อิตาลี โปแลนด์ และสวีเดน

สถานการณ์นี้สะท้อนความร่วมมือก่อนหน้าระหว่าง NSA และ FBI เมื่อเดือนเมษายน 2026 ที่เตือนเรื่องผู้ก่อภัยจากหน่วยข่าวกรองทหารรัสเซีย GRU (ที่ถูกติดตามในชื่อ APT28, Fancy Bear และ Forest Blizzard) ซึ่งโจมตีเราเตอร์สำนักงานขนาดเล็ก/ที่บ้าน (SOHO) ทั่วโลก รวมถึงผ่านอุปกรณ์ TP-Link ด้วยช่องโหว่ CVE-2023-50224 ในแคมเปญที่รู้จักในชื่อ Operation Masquerade ในกรณีนั้นหน่วยงานต่าง ๆ เรียกร้องให้ผู้ใช้รีบูตเราเตอร์ ปิดการจัดการจากระยะไกล เปลี่ยนรหัสผ่านเริ่มต้น และตรวจสอบการตั้งค่า VPN สำหรับการทำงานทางไกล

อุปกรณ์ขอบเครือข่าย (Edge Devices) ที่ตั้งค่าไม่ดียังคงเป็นจุดตั้งหลักที่น่าดึงดูดสำหรับผู้ก่อภัยที่รัฐหนุนหลัง เพราะเราเตอร์และสวิตช์มักได้รับการตรวจสอบด้านความปลอดภัยน้อยกว่าเซิร์ฟเวอร์หรืออุปกรณ์ปลายทาง ทั้งที่ตั้งอยู่ตรงขอบของเครือข่ายองค์กร เมื่อถูกเจาะแล้ว อุปกรณ์เหล่านี้สามารถเปิดทางให้เข้าถึงได้อย่างต่อเนื่อง เก็บเกี่ยว credential และเคลื่อนที่ในแนวขวางเข้าสู่ระบบอ่อนไหวที่รองรับปฏิบัติการทางทหาร รัฐบาล และโครงสร้างพื้นฐานสำคัญ

มาตรการเสริมความแข็งแกร่ง

คำแนะนำร่วมได้วางมาตรการสำคัญ 5 ข้อสำหรับผู้ป้องกันเครือข่ายเพื่อสกัดการโจมตีที่รัฐหนุนหลังนี้ ได้แก่ ข้อแรก การใช้ SNMPv3 แทน SNMP เวอร์ชันเก่าที่ไม่ปลอดภัย ข้อสอง การใช้รหัสผ่านที่แข็งแรงและไม่ซ้ำกันแทนการใช้รหัสผ่านเริ่มต้นหรือใช้ซ้ำ ข้อสาม การปิด Cisco Smart Install ทั้งหมด เนื่องจากแทบไม่มีกรณีการใช้งานที่จำเป็นในสภาพแวดล้อมการผลิตส่วนใหญ่ ข้อสี่ การบล็อกโปรโตคอล TFTP, SMI และ SNMP ที่ขอบไฟร์วอลล์ และข้อห้า การอัปเกรดซอฟต์แวร์และเฟิร์มแวร์อย่างรวดเร็วเพื่ออุดช่องโหว่ที่รู้จัก

นอกจากนี้ นักวิจัยด้านความปลอดภัยที่ติดตามแคมเปญที่เกี่ยวข้องยังแนะนำว่าองค์กรควรตรวจสอบเราเตอร์และสวิตช์เพื่อหาการเปลี่ยนแปลงการตั้งค่าที่ไม่คาดคิดหรือกระบวนการที่ซ่อนอยู่ และควรเปลี่ยนอุปกรณ์ที่หมดอายุการสนับสนุน (End-of-Life) ที่ไม่สามารถรับแพตช์ได้อีกต่อไป NSA และพันธมิตรเน้นย้ำว่าแนวปฏิบัติด้านสุขอนามัยพื้นฐาน มากกว่าการป้องกันที่ซับซ้อน ยังคงเป็นเครื่องมือยับยั้งที่มีประสิทธิภาพที่สุดต่อการบุกรุกระดับรัฐที่ต่อเนื่องเหล่านี้

ผลกระทบต่อไทย

แม้คำแนะนำนี้จะพุ่งเป้าไปที่การป้องกันภัยจากกลุ่มรัสเซียต่อสหรัฐฯ และพันธมิตร แต่ช่องโหว่ CVE-2018-0171 ใน Cisco Smart Install เป็นปัญหาที่กระทบอุปกรณ์ Cisco ทั่วโลก รวมถึงในไทยที่มีการใช้เราเตอร์และสวิตช์ Cisco อย่างแพร่หลายทั้งในภาครัฐ องค์กรขนาดใหญ่ และผู้ให้บริการโทรคมนาคม ช่องโหว่นี้เปิดเผยมาตั้งแต่ปี 2018 แต่ยังมีอุปกรณ์จำนวนมากที่เปิด Smart Install ทิ้งไว้และไม่ได้แพตช์ ทำให้ตกเป็นเป้าที่ถูกสแกนและโจมตีได้ตลอดเวลา

บทเรียนสำคัญคือ อุปกรณ์เครือข่ายมักถูกละเลยในการดูแลความปลอดภัยเมื่อเทียบกับเซิร์ฟเวอร์และเครื่องปลายทาง ทั้งที่เป็นประตูด่านแรกสู่เครือข่ายทั้งองค์กร องค์กรไทยที่ดูแลโครงสร้างพื้นฐานสำคัญ เช่น พลังงาน การเงิน และสาธารณสุข ควรถือคำแนะนำนี้เป็นแนวทางตรวจสอบสุขอนามัยของอุปกรณ์เครือข่ายอย่างเร่งด่วน เพราะการตั้งค่าพื้นฐานที่รัดกุมสามารถยับยั้งการโจมตีระดับรัฐได้อย่างมีประสิทธิภาพ

คำแนะนำ

  1. ปิด Cisco Smart Install ทั้งหมด ด้วยคำสั่ง no vstack หากไม่มีความจำเป็นต้องใช้งาน ซึ่งเป็นกรณีส่วนใหญ่ในระบบจริง
  2. บล็อกพอร์ต TCP 4786 รวมถึงโปรโตคอล TFTP, SMI และ SNMP ที่ขอบไฟร์วอลล์ เพื่อตัดช่องทางการโจมตีจากภายนอก
  3. อัปเกรดซอฟต์แวร์และเฟิร์มแวร์ของเราเตอร์/สวิตช์ให้เป็นเวอร์ชันล่าสุด และเปลี่ยนอุปกรณ์ที่หมดอายุการสนับสนุนซึ่งรับแพตช์ไม่ได้อีก
  4. ใช้ SNMPv3 แทนเวอร์ชันเก่า และตั้งรหัสผ่านที่แข็งแรงไม่ซ้ำกัน เลิกใช้รหัสผ่านเริ่มต้นและปิดการจัดการจากระยะไกลที่ไม่จำเป็น
  5. ตรวจสอบอุปกรณ์เครือข่ายหาการเปลี่ยนแปลงการตั้งค่าที่ผิดปกติหรือกระบวนการที่ซ่อนอยู่ ซึ่งอาจเป็นร่องรอยของการฝังตัวโดยผู้โจมตี

แหล่งอ้างอิง