FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

以下是上周最值得关注的新闻、文章、访谈和视频概览：

MITRE ATT&CK v17.0发布 新增ESXi攻击战术

MITRE发布了ATT&CK框架最新版本v17.0，新增专门针对VMware ESXi虚拟化平台的攻击战术、技术与程序（TTPs）矩阵。该矩阵详细梳理了攻击者针对ESXi管理程序的典型攻击手法。

Erlang/OTP SSH高危漏洞验证代码公开（CVE-2025-32433）

上周披露的Erlang/OTP SSH服务器最高危漏洞（CVE-2025-32433）目前已有多个概念验证（PoC）利用代码公开。该漏洞可能允许攻击者完全控制受影响系统。

54%科技企业招聘主管预期2025年裁员

General Assembly最新研究显示，54%的科技企业招聘主管预计所在公司将在未来一年内裁员，45%认为可被AI替代的岗位最可能被削减。

Commvault远程代码执行漏洞修复（CVE-2025-34028）

使用Commvault Command Center进行数据保护、备份配置的企业需立即检查本地部署版本是否已修复高危漏洞（CVE-2025-34028）。该漏洞可能允许未授权远程代码执行，目前已有公开PoC。

影子IT的法律盲区

影子IT不仅是安全隐患，更暗藏法律风险。员工使用未经批准的软件可能触发合规违规、导致敏感数据泄露或构成违约行为。

Mandiant发布2025年网络攻击趋势报告

Mandiant《M-Trends 2025》报告基于2024年事件响应数据，揭示了全球网络攻击最新趋势。报告显示漏洞利用作为初始入侵途径占比已达20%。

攻击者利用OAuth钓鱼劫持微软365账户

疑似俄罗斯黑客组织正通过OAuth钓鱼攻击获取目标用户授权，进而完全控制其Microsoft 365账户。这种新型攻击可绕过传统安全检测机制。

Ruby框架Rack漏洞可能泄露敏感数据（CVE-2025-27610）

研究人员在Ruby主流Web框架（包括Ruby on Rails等）使用的Rack服务器接口中发现三个高危漏洞（CVE-2025-27610），攻击者可利用其窃取系统机密信息。

开源工具SWE-agent实现AI自动修复GitHub漏洞

开源项目SWE-agent通过集成GPT-4o等大语言模型，可自主完成GitHub仓库漏洞修复、网络安全挑战解决等复杂任务，标志着AI在开发运维中的深度应用。

能源行业面临新型网络威胁升级

针对能源领域的网络威胁呈现多元化趋势，包括国家背景的基础设施破坏、牟利型网络犯罪以及内部人员恶意行为，行业安全防御面临全新挑战。

RSAC 2025大会重点参展商前瞻

4月28日至5月1日在美国旧金山Moscone中心举办的RSAC 2025大会上，Skyhawk Security将展示面向定制化云应用的AI主动防御系统，PowerDMARC则推出简化电子邮件认证的解决方案。

参考来源：

Week in review: MITRE ATT&CK v17.0 released, PoC for Erlang/OTP SSH bug is public

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）