Специалисты организации ICS SANS отмечают, что атаки на уязвимость Log4Shell, еще недавно крайне популярную среди хакеров, почти сошли на нет.
Напомню, что в середине декабря 2021 года разработчики Apache Software Foundation выпустили экстренное обновление безопасности, исправляющее 0-day-уязвимость (CVE-2021-44228) в популярной библиотеке журналирования Log4j, входящей в состав Apache Logging Project. Срочность объяснялась тем, что ИБ‑специалисты уже начали публиковать в открытом доступе PoC-эксплоиты, объясняя, что использовать баг можно было удаленно, причем для этого не требовались особые технические навыки.
Проблема была назвала Log4Shell и, разумеется, атаки на нее не заставили себя ждать. Вскоре уязвимость стала одной из наиболее используемых хакерами, ведь злоумышленники начали искать в интернете любые Java-приложения, которые могли использовать библиотеку Log4j, и тестировали на них эксплоиты.
Как теперь пишут эксперты ICS SANS, волна атак в итоге продлилась около трех недель, примерно до начала 2022 года. «Со временем злоумышленники и исследователи потеряли интерес к Log4j», — гласит отчет.
Выводы исследователей подтверждают и аналитики компании Sophos, которые в конце января отметили, что отмечается тенденция к снижению атак и возможное плато.
По мнению специалистов, одной из причин, по которой злоумышленники потеряли интерес к Log4Shell, стала сложная природа экосистемы Java: библиотека Log4j по-разному реализована в разных приложениях. То есть создать простой и универсальный эксплоит оказалось невозможно, а PoC, опубликованный в прошлом году, универсальным не был.
При этом эксперты призывают не расслабляться. Дело в том, что первоначальный всплеск сканирований, направленный на выявление уязвимых перед Log4Shell систем, мог быть вызван ИБ-исследователями, которые отслеживали распространение патчей в экосистеме Java, а текущее количество сканирований как раз может означать, что настоящие атаки продолжаются.
