面对网路攻击者利用或试图利用未修补的系统滋生事端，Sophos继回报Apache Log4Shell漏洞之后，提供网路威胁最新情报指出端倪。在SophosLabs Uncut文章《Log4Shell 地狱：漏洞利用爆发的剖析》中说明Sophos发现及观察的多种状况，包括：

--利用或试图利用此漏洞的攻击迅速增加，截至目前为止已侦测到数十万次攻击

--加密挖矿僵尸网路是最早使用这个攻击的威胁，主要锁定对象是尤其容易受到此漏洞影响的 Linux 伺服器

--试图从服务中窃取资讯的攻击，包括Amazon Web Services金钥和其他私有资料

--观察到这些攻击会不断试探不同类型的网路服务。在Sophos侦测到的攻击之中，大约90%的探测都是锁定轻量型目录存取通讯协定(LDAP)。少数探测是针对Java的远端介面(RMI)，但 Sophos研究人员指出似乎还有更多与RMI相关的特殊攻击

--预计攻击者会在未来几天和几周内加强和多样化其攻击方法和动机，包括利用勒索软体

根据SophosLabs Uncut文章作者Sophos资深威胁研究员Sean Gallagher表示：

「自12月9日以来，Sophos已侦测到数十万次使用Log4Shell弱点执行远端执行程式码的攻击。最早出现的是概念验证(PoC)，亦即安全研究人员和潜在攻击者等进行的漏洞利用测试，以尽可能扫描出网路上的弱点，紧随其后的是企图安装加密挖矿程式的恶意分子，包括Kinsing挖矿僵尸网路。最新情报表明，攻击者正试图透过这个弱点来偷取Amazon Web Service帐户使用的金钥。此外还有迹象显示，攻击者会利用该弱点在已被入侵的网路中安装远端存取工具如Cobalt Strike，而它是许多勒索软体攻击中的关键工具。

「Log4Shell弱点为防御人员带来了各种挑战。许多软体弱点仅限于特定产品或平台，例如 ProxyLogon和Microsoft Exchange中的ProxyShell漏洞。一旦防御人员知道哪些软体易受攻击，他们就可以检查并修补它。但是Log4Shell是一个被许多产品广为使用的档案库，因此它存在于组织基础架构的各个角落，例如由内部开发的任何软体。找出所有容易因为Log4Shell而受攻击的系统应该是 IT 安全的优先事项。

「Sophos预计攻击者利用和使用这个弱点的速度只会加剧，并在接下来的几天和几周内出现各种新的变化。一旦攻击者取得网路的存取权限，任何感染都可能随之而来。因此，除了Apache已在 Log4j 2.15.0中发布的软体更新之外，IT安全团队还需要彻底检视网路上的活动，以发现并删除任何入侵者的痕迹，即使它看起来只是像是令人讨厌的商用恶意软体。」

此外Sophos首席研究科学家Paul Ducklin表示：「IPS、WAF和智慧型网路筛选等技术都有助于控制这一个全球性的漏洞。但是，以不同方式使用Log4Shell编码的数量实在惊人，这些字串出现在网路流量中的许多不同位置，可能受到影响的各种伺服器和服务都对我们造成威胁。最好的回应作法非常明确：立即修补或减轻您自己系统的风险。」

Sophos文章提供实用的建议，解释了漏洞的运作原理、为什么、可以做什么以及如何修复它。