ペネトレーションツールHexStrike AIでCitrixの脆弱性を悪用した：ハッカーが主張（CVE-2025-7775他）

ペネトレーションツールHexStrike AIでCitrixの脆弱性を悪用した：ハッカーが主張（CVE-2025-7775他）

The Register – Wed 3 Sep 2025

アンダーグラウンドフォーラム上の脅威アクターらは、最近リリースされたオープンソースのオフェンシブセキュリティAIツール「HexStrike AI」を利用して脆弱性を悪用しようと試みているという。Check Pointの研究者が報告した。

HexStrike AIはセキュリティ研究者Muhammad Osama氏によって開発され、数週間前にGitHubで公開されたAI搭載のペネトレーションテストフレームワーク。150以上のセキュリティツールと連携し、ネットワーク偵察・スキャンやWebアプリケーションのセキュリティテスト、リバースエンジニアリング、またその他多数のタスクを実行することができる。防御者を支援することを意図したツールであり、GitHubリポジトリにはシステムに対する許可なしでのテストや違法性・有害性のある行為、データ窃取のために使用してはならない旨が記載されている。

しかしCheck Pointによれば、8月26日にCitrixがNetScaler ADCとNetScaler Gatewayにおける脆弱性CVE-2025-7775、CVE-2025-7776、CVE-2025-8424を開示してから12時間の間に、脅威アクターらがHexstrike-AIを活用して脆弱なNetScalerインスタンスを悪用することについて議論する様子が観測されたという。同社が共有したダークウェブ上の投稿のスクリーンショットには、ある脅威アクターが同ツールを使ってこれらの最新の脆弱性を悪用することに成功したと主張している様子が写し出されている。なお、CVE-2025-7775については実際の攻撃でゼロデイとして悪用された事実が公式に確認されている。

Check Pointの研究者Weigman氏によれば、これらの脆弱性3件を悪用するために、攻撃者はメモリ操作、認証バイパス、NetScalerのアーキテクチャの特殊性を理解していなければならず、悪用は容易ではないという。従来、そうした作業を実施するには高度なスキルを持つオペレーターと数週間の開発期間が必要だったが、HexStrike AIのようなAIツールを使うことで数分のうちにエクスプロイトコードを作成することも可能になる。

HexStrike AIを使った上記の脆弱性の悪用を成功させたとする脅威アクターの主張を裏付ける証拠は現時点で見つかっていない。しかしCheck Pointは、同ツールが「複雑なエクスプロイトに関する参入障壁を崩壊させる」ものであり、「ターニングポイント」になっていると指摘している。

【無料配布中！】インテリジェンス要件定義ガイド

インテリジェンス要件定義に関するガイドブック：『要件主導型インテリジェンスプログラムの構築方法』

以下のバナーより、優先的インテリジェンス要件（PIR）を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。

＜ガイドブックの主なトピック＞

本ガイドブックでは、優先的インテリジェンス要件（PIR）の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。

• 脅威プロファイルの確立
• ステークホルダーの特定・分析
• ユースケースの確立
• 要件の定義と管理
• データの収集と処理
• 分析と生産
• 報告
• フィードバック
• 実効性の評価