בעקבות הדיווח על חשיפת חולשות Apache Log4Shell, מפרסמת סופוס, חברת אבטחת הסייבר על תקיפות סייבר שכבר מתרחשות ועל ניסיונות לנצל מערכות שאינן מעודכנות. במחקר, תחת הכותרת LogShell Hell: Anatomy of an Exploit Outbreak, סופוס מזהה זינוק במספר ההתקפות הקיימות והמנסות לנצל את החולשה החדשה, עם מאות אלפי נסיונות שזוהו עד כה.
על פי הערכות של החברה, בוטנטים לכריית מטבעות קריפטו הם מבין הפלטפורמות הראשונות להתקפה. מדובר בבוטנטים הממוקדים בפלטפורמות של שרתי לינוקס, אשר חשופים במיוחד להתקפה זו. סופוס גם זיהתה נסיונות לחלץ נתונים משירותים, כולל מפתחות זיהוי משירותי אחסון ונתונים פרטיים אחרים.
באשר לדרך הפעולה, זיהתה סופוס כי ניסיונות לנצל שירות רשת מתחילים בסריקות שונות. כ- 90% מהסורקים שסופוס זיהתה היו ממוקדים בפרוטוקול LDAP (Lightweight Directory Access Protocol). מספר קטן יותר של סורקים חיפשו את Remote Interface (RMI) של Java, אך עם זאת החוקרים מציינים כי ישנו מגוון רחב יותר של נסיונות תקיפה ייחודיים על RMI.
סופוס צופה כי התוקפים יגבירו ויגוונו את שיטות ההתקפה, וכן את ירחיבו את הסיבות לתקיפה במהלך הימים והשבועות הקרובים, כולל האפשרות למנף את ההתקפה לצורך הפעלת תוכנות כופר.
לדברי שון גלגהר, חוקר איומים בכיר בסופוס, "מאז ה-9 בדצמבר, סופוס זיהתה מאות אלפי ניסיונות להפעיל קוד מרחוק דרך פגיעות Log4Shell. ישנם גם סימנים לכך שהתוקפים מנסים לנצל את הפגיעות כדי להתקין כלים לגישה מרחוק ברשתות של הקורבנות. בין היתר את Cobalt Strike, כלי מרכזי במסגרת מתקפות כופר רבות.
לדברי פול דאקלין, מדען מחקר ראשי בסופוס: "המספר מדהים של דרכים שונות בהן ניתן להפעיל את Log4Shell, המספר העצום של המקומות השונים בתעבורת הרשת בהן הקוד יכול להופיע, והמגוון העצום של השרתים והשירותים אשר עלולים להיפגע, הופכים יחד לאיום גדול הפועל נגד כולנו. התגובה הטובה ביותר היא ברורה לגמרי: עדכון המערכות שלך ברגע זה".
גם בחברת צ'ק פוינט, מדיווחים כי מאז גילוי החולשה, היו מעל ל840,000 ניסיונות ניצול של החולשה (יותר מ 40% מהרשתות הארגוניות בעולם), לפי החברה 45% מניסיונות אלה בוצעו ע"י קבוצות תקיפה המוכרות לחברה – כלומר לפי החברה ישנם כוונות זדוניות. בנוסף ציינו כי המספרים כאמור עולים ועוד צפויים לעלות.
בבדיקה מול חברות המפתחות תוכנות הגנה ואנטי וירוס לציבור הפרטי, נמסר ע"י חברת ESET "כי תוכנות האנטי וירוס של החברה מזהה את האיום הזה, במידה ויהיה ניסיון לנצל את פרצת האבטחה, הוא ייחסם".
גם בבדיקה למול חטיבת מחקר האיומים של קספרסקי נמסר כי "מוצרי Kasperksy מגנים מפני התקפות הממנפות את הפגיעות תחת השמות UMIDS:Intrusion.Generic.CVE-2021-44228.PDM:Exploit.Win32.Generic), וכדי להגן מפני הפגיעויות, מומחי קספרסקי ממליצים להתקין את הגרסה העדכנית ביותר של הספרייה הנ"ל, וכן לעקוב אחר העדכונים וההוראות השונות בנוסף לכלל פתרונות האבטחה".
בכל מקרה מומלץ לעקוב אחר הוראות תוכנות ההגנה ולעקוב אחר העדכונים השונים של החברות ברשת.
