Aggregator

研究发现，黑客正越来越多地在实际攻击中使用一款名为HexStrike-AI的新型AI驱动攻击性安全框架，利用新披露的n-day漏洞实施攻击。

这一活动由CheckPoint Research报告。该机构观察到，暗网上围绕HexStrike-AI的讨论十分活跃，且这些讨论与新披露的Citrix漏洞（包括CVE-2025-7775、CVE-2025-7776和CVE-2025-8424）的快速武器化密切相关。

根据ShadowServer基金会的数据，截至2025年9月2日，仍有近8000个端点易受CVE-2025-7775漏洞影响，较前一周的28000个有所下降。

落入不法分子手中的工具

HexStrike-AI本是网络安全研究员Muhammad Osama开发的合法红队工具，可集成AI代理，自主运行150多种网络安全工具，实现自动化渗透测试与漏洞发现。

其开发者描述道：“HexStrike AI通过MCP（管理控制协议）与外部大语言模型（LLM）进行‘人在环’交互，形成提示、分析、执行、反馈的持续循环。”该工具的客户端具备重试逻辑与恢复处理功能，可减轻复杂操作中单个步骤失败的影响——它会自动重试或调整配置，直至操作成功完成。

这款工具已于一个月前开源并上架GitHub平台，目前已获得1800个星标和400余次分支（fork）。遗憾的是，它也引起了黑客的注意，后者已开始将其用于攻击活动。 

CheckPoint指出，在Citrix NetScaler ADC和Gateway 0-day漏洞披露后的数小时内，黑客便开始在黑客论坛上讨论如何部署HexStrike-AI来利用这些漏洞。

关于使用HexStrike-AI对抗Citrix端点的讨论

据悉，攻击者利用该工具通过CVE-2025-7775漏洞实现未授权远程代码执行，随后在被攻陷的设备上植入webshell，部分攻击者还将被入侵的NetScaler实例挂牌出售。 

CheckPoint认为，攻击者很可能借助这款新型渗透测试框架实现攻击链自动化，涵盖扫描易受攻击的实例、构造漏洞利用程序、交付有效载荷（payload）以及维持持久控制等环节。

易受攻击的NetScaler实例列表

尽管目前尚未证实HexStrike-AI确实参与了这些攻击，但这种自动化程度或将使n-day漏洞的利用时间从数天缩短至几分钟。这种变化将使系统管理员本就紧张的补丁部署窗口期进一步压缩，留给他们应对攻击的时间愈发有限。 

漏洞披露与大规模利用之间的窗口期正急剧缩短。目前CVE-2025-7775已被用于野外攻击，而借助HexStrike-AI，未来几天的攻击量只会有增无减。”

应对建议

尽管快速部署补丁仍是关键，但AI驱动攻击框架带来的这种范式转变，使得构建强大、全面的安全防御体系变得更为重要。 

CheckPoint建议防御者重点关注以下方面：通过威胁情报实现早期预警、部署AI驱动的防御机制，以及建立自适应检测系统。

目前，TP-Link已确认多款路由器型号存在未修复的零日漏洞，该公司路由器的其他漏洞已被用于实际攻击。

零日漏洞详情与厂商响应

该零日漏洞由独立威胁研究员Mehrun发现。他表示，已于2024年5月11日首次向TP-Link报告此问题。

TP-Link证实，目前正在调查该漏洞的可利用性及影响范围。据悉，针对欧洲地区型号的补丁已开发完成，但针对美国及全球其他地区固件版本的修复程序仍在开发中，尚未给出具体发布时间。TP-Link强烈建议所有用户通过官方支持渠道及时为设备安装最新固件更新。

该漏洞目前尚未分配CVE编号，其本质是TP-Link多款路由器（具体数量未知）的CWMP（客户终端设备广域网管理协议）实现中存在的栈溢出漏洞。

研究员Mehrun通过对路由器二进制文件进行自动化污点分析发现了该漏洞，他解释称，漏洞存在于处理SOAP协议SetParameterValues消息的函数中。问题根源在于“strncpy”调用时缺乏边界检查，当栈缓冲区大小超过3072字节时，攻击者可通过缓冲区溢出实现远程代码执行（RCE）。

Mehrun表示，实际攻击场景可能是：将易受攻击的设备重定向至恶意CWMP服务器，然后发送超大SOAP有效载荷以触发缓冲区溢出。要实现这一点，攻击者可利用过时固件中的漏洞，或使用用户未更改的默认凭据访问设备。

一旦通过远程代码执行攻陷路由器，攻击者可指令其将DNS查询重定向至恶意服务器、暗中拦截或篡改未加密流量，以及在网页会话中注入恶意有效载荷。

研究员通过测试确认，TP-Link Archer AX10和Archer AX1500两款路由器使用了存在漏洞的CWMP二进制文件。这两款均为热门型号。 

Mehrun还指出，EX141、Archer VR400、TD-W9970以及其他多款TP-Link路由器型号也可能受到影响。 

在TP-Link明确受影响设备清单并发布修复程序前，用户应采取以下措施：更改默认管理员密码；如无需使用CWMP，应将其禁用；为设备安装最新固件；如有可能，将路由器与核心网络进行隔离。

TP-Link已被利用漏洞

上周，CISA将TP-Link的另外两个漏洞（编号CVE-2023-50224和CVE-2025-9377）添加至“已知被利用漏洞目录”。这两个漏洞已被Quad7僵尸网络利用以攻陷路由器。

其中，CVE-2023-50224为身份验证绕过漏洞，CVE-2025-9377为命令注入漏洞。攻击者将两个漏洞结合利用，可在易受攻击的TP-Link设备上实现远程代码执行。