Швидкість атак зростає: за даними Check Point, на кримінальних майданчиках обговорюється використання фреймворка HexStrike AI для прискореної експлуатації n-day уразливостей у Citrix NetScaler ADC/Gateway, зокрема CVE-2025-7775, CVE-2025-7776 і CVE-2025-8424. Це черговий сигнал, що автоматизація на базі ШІ переводить експлуатацію з ручного режиму у напівавтономні конвеєри.
HexStrike AI: можливості, архітектура та етичні обмеження
HexStrike AI — легітимний open-source фреймворк для red team, створений дослідником Muhammad Osama. Платформа інтегрує LLM-агентів і оркеструє понад 150 інструментів безпеки для автоматизації пентестів, від розвідки до постексплуатації, з мінімальною участю людини.
Фреймворк використовує підхід через MCP для взаємодії з зовнішніми LLM: формує промпти, аналізує контекст, виконує команди та збирає зворотний зв’язок. Закладена толерантність до збоїв: механізми повторних спроб і відновлення не дозволяють одиничним помилкам зупинити процес.
Проєкт доступний на GitHub близько місяця, вже зібрав орієнтовно 1 800 зірок і понад 400 форків. Автор підкреслює, що HexStrike AI не призначений для несанкціонованої діяльності, а місія — надати захисним командам інструменти «адаптивної автоматизації». У тому ж ключі він відтермінував RAG-версію, здатну динамічно додавати розвіддані про CVE, аби знизити ризики зловживань.
Citrix NetScaler: масштаби експозиції та активність зловмисників
За оцінкою Shadowserver Foundation, станом на 2 вересня 2025 року уразливими за CVE-2025-7775 лишалися близько 8 000 вузлів — проти щонайменше 28 000 тижнем раніше. Це вказує на активне, але ще незавершене усунення експозиції на периметрі.
Форуми, RCE та індикатори компрометації
Check Point фіксує, що обговорення атак на Citrix NetScaler почалися приблизно через 12 годин після розкриття деталей уразливостей. Учасники заявляли про неаутентифіковану RCE через CVE-2025-7775 з подальшим розміщенням вебшелів на скомпрометованих пристроях; траплялися повідомлення про «продаж» окремих екземплярів NetScaler.
Дослідники припускають прагнення злочинців автоматизувати повний цикл: від пошуку вразливих вузлів і адаптації експлойтів до доставки корисного навантаження та постексплуатації, використовуючи HexStrike AI. Водночас прямі докази застосування фреймворка наразі обмежені форумними згадками; незалежні кампанії вже експлуатують CVE-2025-7775 «в полі».
Чому це важливо: експлуатація n-day стискає «вікно реагування»
ШІ-оркестрація скорочує час від публікації уразливості до масових спроб її використання — з днів до хвилин. Це підвищує вимоги до SLA патчингу, ASM (керування зовнішньою поверхнею) і безперервного моніторингу експозиції. Організації, які швидко впроваджують «віртуальні патчі» (правила WAF/IPS) та автоматизують реагування, статистично рідше стають жертвами ранніх хвиль атак.
Рекомендації для SOC та команд ІБ
1) Пріоритизуйте патчинг Citrix NetScaler за CVE-2025-7775/7776/8424; інвентаризуйте й перевірте експоновані вузли, вимкніть застарілі інтерфейси адміністрування та звірте версії прошивок.
2) Застосуйте «віртуальний патчинг»: тимчасові правила WAF/IPS, жорсткі політики доступу й геофільтрацію для зниження доступності векторів до встановлення офіційних оновлень.
3) Посильте моніторинг індикаторів компрометації: аномалії HTTP(S)-трафіку, несанкціоновані файли (вебшели), підозрілі сесії та зміни конфігурації, нетипова активність облікових записів. Корелюйте події між EDR/NDR і журналами периметра.
4) Інтегруйте ШІ в захист і автоматизуйте реакцію: прив’язуйте телеметрію до актуальної CVE-розвідки, запускайте автоматичні плейбуки SOAR для ізоляції вузлів і швидкого зниження ризику.
5) Перевірте резервні копії та готовність IR: тест відновлення, сегментація й ізоляція бекапів, актуальні runbook на випадок ескалації інциденту.
Розповсюдження інструментів на кшталт HexStrike AI змінює баланс сил: ті самі механізми автоматизації здатні як підсилити оборону, так і прискорити зловживання. Зменшуйте «вікно атаки» завдяки оперативному патчингу Citrix NetScaler, «віртуальному» захисту та адаптивному моніторингу, а також перегляньте пріоритизацію уразливостей відповідно до реалій «хвилинної» експлуатації. Чим швидше команда переходить від оповіщення до дій, тим вищі шанси випередити зловмисників.
