Các nhóm tấn công đang nhanh chóng vũ khí hóa Hexstrike-AI – một framework tấn công dựa trên AI – để quét và khai thác lỗ hổng 0-day trong vòng chưa đầy 10 phút. Ban đầu được phát triển cho red team, Hexstrike-AI đã bị kẻ xấu tái sử dụng chỉ vài giờ sau khi công bố công khai.
Theo phân tích của CheckPoint, Hexstrike-AI vận hành dựa trên lõi FastMCP server, kết nối các mô hình ngôn ngữ lớn (LLMs như GPT, Claude, Copilot) với hơn 150 công cụ bảo mật. Hệ thống này cho phép AI agents tự động hóa các bước phức tạp như quét lỗ hổng (nmap_scan), brute force, khai thác (execute_exploit) và triển khai webshell mà không cần con người can thiệp chi tiết.
Kết quả là, hacker có thể đạt được remote code execution (RCE) và cài webshell vào thiết bị NetScaler chỉ trong vòng 10 phút sau khi các lỗ hổng CVE-2025-7775, CVE-2025-7776, CVE-2025-8424 được công bố.
Trước đây, việc khai thác các lỗ hổng nghiêm trọng trong NetScaler thường yêu cầu kỹ năng cao về phân tích ngược và viết khai thác, mất hàng tuần để phát triển. Tuy nhiên, Hexstrike-AI đã rút ngắn thời gian này xuống còn vài phút, đồng thời cho phép quét hàng nghìn IP song song và tự động điều chỉnh payload đến khi thành công.
Điều này đồng nghĩa với việc chu kỳ phản ứng và vá lỗi của doanh nghiệp đang bị thu hẹp đáng kể, trong khi thiết bị cài webshell đã bắt đầu xuất hiện trên chợ đen.
Các chuyên gia khuyến cáo tổ chức cần:
-
Thường xuyên cập nhật các bản vá, đặc biệt với các lỗ hổng nghiêm trọng trên cloud và thiết bị mạng.
-
Triển khai hệ thống giám sát, phát hiện dựa trên AI thay vì chỉ dựa vào các phương pháp phòng thủ truyền thống.
-
Kết hợp tình báo từ dark web, phân đoạn mạng và áp dụng mô hình least privilege.
-
Xây dựng playbook phản ứng tự động để ứng phó với các cuộc tấn công tinh vi và hiện đại.
