Când au apărut primele instrumente pentru testarea securității, erau folosite de echipele roșii pentru identificarea și corectarea vulnerabilităților înainte ca acestea să devină o problemă. Astăzi vorbim despre HexStrike-AI, un cadru ofensiv de securitate alimentat de inteligență artificială care a atras atenția după ce a fost utilizat, sau cel puțin intens discutat, în atacuri reale asupra echipamentelor Citrix NetScaler ADC și Gateway.
Cercetătorii CheckPoint Research au remarcat o intensificare a conversațiilor pe forumurile din dark web privind HexStrike-AI imediat după divulgarea unor vulnerabilități Citrix asociate codurilor CVE-2025-7775, CVE-2025-7776 și CVE-2025-8424. Datele ShadowServer Foundation arată că la 2 septembrie 2025 existau aproape 8.000 de endpointuri încă vulnerabile la CVE-2025-7775, față de aproximativ 28.000 cu o săptămână înainte, semnalând fie un proces de remediere în desfășurare, fie o creștere a exploatărilor. HexStrike-AI, dezvoltat de cercetătorul în securitate Muhammad Osama, conectează agenți AI la peste 150 de unelte de securitate pentru a automatiza testele de penetrare și descoperirea vulnerabilităților. Autorul menționează că sistemul funcționează cu intervenție umană atunci când e necesar, utilizând LLM-uri externe printr-un mecanism MCP care generează un ciclu continuu de prompturi, analiză, execuție și feedback. Clientul toolului include logică de retry și mecanisme de recuperare, astfel încât dacă un pas complex eșuează, sistemul reia sau ajustează configurația până la finalizare. În ultima lună proiectul a fost open-source pe GitHub și a adunat aproximativ 1.800 de stele și peste 400 de forkuri, un indiciu al interesului crescut, nu doar din partea cercetătorilor bine intenționați.
Problema apare când instrumentele concepute pentru creșterea securității ajung la persoane cu intenții malițioase. CheckPoint raportează că atacatori au început să discute pe forumuri despre modul în care pot folosi HexStrike-AI pentru a exploata rapid vulnerabilitățile Citrix menționate, unele conversații apărând la doar câteva ore după dezvăluirea bug-urilor. În unele situații, atacatorii ar fi obținut execuție de cod neautentificată prin CVE-2025-7775 și ar fi instalat webshell-uri pe dispozitivele compromise; au existat chiar oferte de vânzare a instanțelor NetScaler compromise. Deși implicarea directă a HexStrike-AI în toate atacurile nu este confirmată public, capacitatea de automatizare oferită de astfel de cadre poate reduce semnificativ timpul necesar exploatării unui n-day, de la zile la minute. Pentru administratorii de sistem, asta se traduce în ferestre de patching și reacție mult mai scurte. Check Point avertizează că CVE-2025-7775 este deja exploatată în mediul real și că utilizarea unor instrumente precum HexStrike-AI poate amplifica volumul atacurilor în zilele următoare.
Recomandările rămân pragmatice: aplicarea rapidă a patch-urilor este esențială, dar aparatul defensiv trebuie să se adapteze. Check Point recomandă orientarea către detecție timpurie bazată pe informații despre amenințări, soluții defensive care utilizează AI și mecanisme adaptive de detecție. În practică, aceasta înseamnă monitorizare proactivă a endpointurilor Citrix, verificarea jurnalelor pentru semne de scanare sau execuție neautorizată, izolarea rapidă a echipamentelor vulnerabile și folosirea semnăturilor actualizate și a regulilor IPS/IDS compatibile cu cele mai recente CVE-uri. În plus, echipele ar trebui să urmărească sursele publice și open-source: un proiect disponibil pe GitHub care câștigă tracțiune se poate transforma rapid într-o unealtă de atac dacă exploituri publice pentru software-ul popular devin disponibile.
HexStrike-AI scoate în evidență un paradox: instrumentele puternice de testare, atunci când sunt publice, pot grăbi atât remedierea, cât și exploatarea. Este important să monitorizăm nu doar aplicarea patch-urilor, ci și fluxurile de informații din comunitatea de securitate și din forumurile unde apar discuții despre tehnici noi de atac. Atenție deosebită trebuie acordată echipamentelor Citrix NetScaler ADC și Gateway, menționate explicit în raport, precum și vulnerabilității CVE-2025-7775, deja observată în exploatare. Sursa utile de informare în astfel de cazuri includ rapoartele Check Point, datele ShadowServer și paginile oficiale Citrix pentru advisories și patch-uri.
HexStrike-AI are și o dimensiune practică: ilustrează clar că AI poate automatiza sarcini repetitive și complexe în lanțul de exploatare, scanare, construire exploit, livrare payload, menținerea persistenței, reducând timpul de la descoperire la exploatare. Aceasta schimbă prioritățile în securitate: nu doar aplicarea rapidă a patch-urilor contează, ci și detectarea comportamentală și izolarea automată devin cruciale. Între timp, pentru administratorii care gestionează infrastructuri expuse, cifra de 8.000 (endpointuri vulnerabile la 2 septembrie 2025) și identificatorul CVE-2025-7775 sunt repere concrete de urmărit. Ce măsuri veți lua pentru a verifica și proteja echipamentele Citrix din rețeaua voastră?
vezi să patch-uiți rapid, că ăsta automatizează tot, frate
da, patch imediat; vezi să izolezi netscalerii ăia, mulți încă-s expuși.
hm, iarăși chestii astea tech… eu zic sa aveți grijă, se pot abuza, stiu eu, probabil.