Yapay Zeka ve Makine Öğrenimi, Yeni Nesil Teknolojiler ve Güvenli Gelişim, AI ve Siber Güvenliğin Geleceği
Hexstrike-ai, LLMS’yi 150’den fazla mevcut güvenlik aracına bağlar
Rashmi Ramesh (Rashmiramesh_) •
5 Eylül 2025
Check Point araştırmacıları, bilgisayar korsanları Citrix Netscaler güvenlik açıklarını açıkladıkları saatler içinde kullanmak için açık kaynaklı bir saldırı güvenlik çerçevesi kullanmaya başladı.
Ayrıca bakınız: Bulut Güvenliği ve SOC yakınsama için Kapsamlı Kılavuz
Siber güvenlik araştırmacısı Muhammed Usame tarafından oluşturulan bir çerçeve otomatik penetrasyon testini desteklemektedir. Hexstrike-ai olarak adlandırılan, büyük dil modellerini 150’den fazla mevcut güvenlik aracına bağlar ve bunları yeniden deneme mantığı ve hata kurtarma ile sırayla çalıştırır.
Osama, sistemi “model bağlam protokolü yoluyla harici LLM’ler aracılığıyla döngüdeki insan etkileşimi ile çalıştırarak, sürekli bir istem, analiz, yürütme ve geri bildirim döngüsü oluşturdu.” Halka açık olarak piyasaya sürülen proje, ilk ayında 1.800’den fazla yıldız ve 400’den fazla çatal çekti.
Check Point Araştırmacılar, araçların geçen hafta açıklanan üç Citrix NetScaler kusurlarına karşı nasıl dağıtılacağı konusunda talimatlar alışverişinde bulundukları yeraltı forumlarında tartışıldığını söyledi: CVE-2025-7775, CVE-2025-7776 ve CVE-2025-8424. Bunların en kritik olan CVE-2025-7775, kimlik doğrulanmamış uzaktan kod yürütülmesine izin verir.
Shadowserver Vakfı, başlangıçta CVE-2025-7775’e maruz kaldığını yaklaşık 28.000 internete bakan uç noktanın bulunduğunu buldu. 2 Eylül’e kadar, rakam yaklaşık 8.000’e düştü ve birçok kuruluşun yamaladığını, ancak önemli bir sayının hala savunmasız olduğunu gösteriyor.
Check Point, saldırganların bu sistemlerin keşfini ve sömürüsünü otomatikleştirmek için Hexstrike-AI kullanabildiklerini söyledi. Darkweb forumlarındaki yayınlar, savunmasız NetScaler örnekleri için tarama taramalarını açıkladı, yük yükleri oluşturma ve kalıcılık için web kabuklarını dağıtmayı açıkladı. Bazı aktörler satış için uzlaşmış Citrix cihazlarının reklamını yaptı.
Bir N-Day Flaw’dan yararlanmanın silahlanması genellikle günler sürer, ancak Check Point, Hexstrike-ai’nin tüm süreci düzenleyerek süreyi dakikalara düşürdüğünü söyledi. Araştırmacılar, “Açıklama ve kitlesel sömürü arasındaki pencere önemli ölçüde küçülüyor.” “CVE-2025-7775 zaten vahşi doğada sömürülüyor ve HexStrike-ai ile saldırıların hacmi sadece önümüzdeki günlerde artacak.”
Forum Chatter, Hexstrike-ai’nin kullanımına işaret eder, ancak gözlemlenen saldırılardaki rolünün doğrudan adli teyidi sınırlıdır. Çerçeve, tarama, sömürü, yük dağıtım ve kalıcılık gibi gerekli adımları bir araya getirebilir, ancak canlı girişlerde belirli bir araca atfedilmesi zordur.
Hexstrike-ai’nin çift kullanımlı doğası benzersiz değildir. Kobalt Strike, Metasploit ve Şerit gibi kırmızı takım ve penetrasyon testi çerçeveleri, savunucular tarafından yaygın olarak benimsenen ve daha sonra saldırganlar tarafından istismar edilen benzer yörüngeleri takip etti. Araştırmacılar, en son örnekteki farkın AI entegrasyonunun sağladığı ölçek ve hız olduğunu söyledi. Manuel ayarlamaya güvenmek yerine, HexStrike-Ai, dil modellerinin süreci sürekli olarak yönlendirmesine, hatalardan kurtulmasına ve adımları yeniden kurmaya kadar başarılı oluncaya olanak tanır.
Hexstrike-ai’nin piyasaya sürülmesi, Citrix’in üç Netscaler kusurları için yamalar yayınlanmasıyla çakıştı. NetScaler’ın desteklenmeyen versiyonları, artık düzeltmeler almadıkları için belirli bir risk altında kalır.
Savunucular için Check Point, yamanın hala en etkili önlem olduğunu, açıklama ve sömürü arasındaki daralma boşluğu erken tespit ve istihbarat toplama giderek daha kritik hale getirildi. Şirket, yapay zeka destekli suçlara “AI odaklı savunmalar” ve “uyarlanabilir algılama” nı gerekli muadillere işaret etti.