Специалисты фиксируют существенное снижение попыток эксплуатации уязвимости.
После первоначального ажиотажа в декабре прошлого года киберпреступники, похоже, утратили интерес к нашумевшей уязвимости Log4Shell.
Уязвимость CVE-2021-44228 присутствует в утилите журналирования Apache Log4j. Подробности о ней были раскрыты в конце прошлого года и вызвали огромный резонанс, поскольку утилита используется во множестве продуктов, а уязвимость оказалась очень простой в эксплуатации. Согласно последнему отчету ICS SANS, попытки эксплуатации были зафиксированы практически сразу же после раскрытия. Тогда же начались массовые сканирования интернета в поисках уязвимых приложений и для тестирования эксплоитов.
Однако всплеск атак продлился всего три недели, а потом интерес хакеров к Log4Shell начал остывать. К таким же выводам пришли специалисты ИБ-компании Sophos. По их словам, причина заключается в том, что Java-экосистема слишком сложная, и библиотека Log4j в каждом продукте реализована по-своему, а значит, создать какой-то один универсальных эксплоит невозможно. Попытки создать такой инструмент были, но в итоге они все оказались провальными.
Для того чтобы проэксплуатировать уязвимость, хакерам нужно сначала осуществить реверс-инжиниринг Java-приложения, понять, где и как в нем используется Log4j, а затем испробовать различные варианты эксплоитов в поисках наиболее подходящего. Этот процесс слишком сложный и времязатратный, и киберпреступники утратили к нему интерес.
После того, как попытки эксплуатации уязвимости достигли плато, координированные массовые атаки периодически все же имели место, но только когда публиковались новые PoC-эксплоиты.
Тем не менее, несмотря на небольшое количество сканирований в поисках Log4Shell и попыток эксплуатации, специалисты Sophos рекомендуют командам безопасности не сбрасывать ее со счетов.
Всплеск сканирований в декабре прошлого года может быть частично связан с попытками исследователей безопасности проверить статус обновлений Java-экосистемы. Теперь же число атак сократилось, но это уже настоящие, вредоносные атаки.
Источник: securitylab