04/09/25
Об этом сообщил исследователь компании Check Point Амит Вейгман, отметив, что окно между публикацией уязвимости и её массовой эксплуатацией стремительно сокращается.
Главная проблема — критическая уязвимость CVE-2025-7775, позволяющая выполнять удалённый код без подтверждения, пишут в Securitylab. Она была использована как zero-day: атакующие внедряли вебшеллы и бэкдоры в устройства ещё до выхода патча от Citrix. Вейгман предупреждает, что благодаря HexStrike AI объёмы атак в ближайшие дни будут только расти.
HexStrike AI разработал исследователь безопасности Мухаммад Осама, и несколько недель назад выложил проект на GitHub. Это ИИ-инструмент для пентестов, который может объединяться более чем со 150 инструментами, включая средства для сетевого сканирования, анализа веб-приложений, реверс-инжиниринга и других задач. Дополнительно он подключается к десяткам агентов на базе искусственного интеллекта, которые ищут уязвимости, автоматизируют создание эксплойтов и формируют новые цепочки атак.
В репозитории GitHub прямо указано, что HexStrike AI нельзя применять для несанкционированного тестирования, кражи данных или любых незаконных действий. Тем не менее, почти сразу после его выхода на даркнет-ресурсах появились обсуждения использования этого инструмента для эксплуатации дыр в Citrix NetScaler . По данным Check Point, всего через 12 часов после раскрытия CVE-2025-7775 злоумышленники утверждали, что с его помощью генерируют эксплойты и ищут уязвимые инстансы NetScaler.
Ранее подобные атаки считались уделом опытных специалистов: требовалось понимание работы памяти, способов обхода аутентификации и особенностей архитектуры NetScaler, что обычно занимало недели подготовки. Теперь же, отмечает архитектор безопасности Check Point Аарон Роуз, такие атаки можно автоматизировать при помощи ИИ за считанные минуты. Это резко снижает барьер входа и позволяет проводить масштабные кампании с темпами, к которым защитные системы пока не готовы.
Хотя у Check Point пока нет прямых доказательств того, что HexStrike AI уже применялся для успешных атак на Citrix, специалисты видят тревожные сигналы в сообществах злоумышленников. По мнению Роуза, подтверждённые факты эксплуатации появятся в ближайшее время.
