Hexstrike‑AI : un framework d’orchestration IA détourné pour exploiter des zero‑days Citrix NetScaler
Selon blog.checkpoint.com (Amit Weigman, Office of the CTO, 2 septembre 2025), des chercheurs analysent Hexstrike‑AI, un framework d’orchestration IA pensé pour le « red teaming » et la recherche, mais rapidement détourné par des acteurs malveillants pour viser des zero‑days Citrix NetScaler révélés le 26/08. ⚠️
Le billet explique que Hexstrike‑AI fournit un « cerveau » d’orchestration reliant des LLM (Claude, GPT, Copilot) à plus de 150 outils de sécurité. Au cœur du système, un serveur FastMCP et des MCP Agents exposent les outils sous forme de fonctions appelables, permettant aux agents IA d’exécuter de manière autonome des tâches comme la découverte, l’exploitation, la persistence et l’exfiltration. Des fonctions standardisées (ex. nmap_scan) et un mécanisme de traduction d’intention en exécution (ex. execute_command) automatisent l’enchaînement des actions, avec retries et reprise pour la résilience. 🤖
📢 Alerte CISA : 0‑day RCE (CVE‑2025‑7775) activement exploité dans Citrix NetScaler
📝 Selon GBHackers Security, la CISA a publié une alerte urgente après avoir détecté l’exploitation active d’une vulnérabilité cr...
📖 cyberveille :
https://cyberveille.ch/posts/2025-08-29-alerte-cisa-0-day-rce-cve-2025-7775-activement-exploite-dans-citrix-netscaler/🌐 source :
https://gbhackers.com/cisa-issues-alert-on-citrix-netscaler-0-day-rce-exploited/#CISA_KEV #CVE_2025_7775 #CyberveilleAlerte CISA : 0‑day RCE (CVE‑2025‑7775) activement exploité dans Citrix NetScaler
Selon GBHackers Security, la CISA a publié une alerte urgente après avoir détecté l’exploitation active d’une vulnérabilité critique de type exécution de code à distance (RCE) touchant les appareils Citrix NetScaler.
Identifiant: CVE‑2025‑7775 Nature de la faille: dépassement de mémoire (memory overflow) dans le sous-système de gestion du trafic de NetScaler Statut: 0‑day activement exploité et ajouté récemment au catalogue Known Exploited Vulnerabilities (KEV) de la CISA Impact et portée: la vulnérabilité permet potentiellement une exécution de code à distance sur les appareils concernés, indiquant une menace immédiate en raison de l’exploitation en cours.
Plus de 28 200 instances Citrix exposées à une faille RCE critique (CVE-2025-7775) déjà exploitée
Plus de 28 200 instances Citrix dans le monde sont aujourd’hui vulnérables à une faille critique de type exécution de code à distance (RCE), identifiée sous le code CVE-2025-7775. Cette vulnérabilité touche NetScaler ADC et NetScaler Gateway et a déjà été exploitée comme un zero-day, avant même la publication du correctif.
Les versions affectées incluent 14.1 avant 14.1-47.48, 13.1 avant 13.1-59.22, 13.1-FIPS/NDcPP avant 13.1-37.241 et 12.1-FIPS/NDcPP jusqu’à 12.1-55.330. Citrix précise qu’aucune mesure de mitigation ou de contournement n’existe : les administrateurs doivent mettre à jour immédiatement vers une version corrigée.
CVE-2025-7775: Critical Citrix NetScaler Zero-Day RCE Exploited to Drop Webshells
#CVE_2025_7775 https://arcticwolf.com/resources/blog/cve-2025-7775/
CVE-2025-7775 | Arctic Wolf
On August 26, 2025, Citrix released fixes for a critical vulnerability in Citrix NetScaler ADC and Gateway CVE-2025-7775 that has been exploited on unpatched appliances.
CyberVeille.ch
The Threat Codex