Log4j漏洞可能需要数月甚至数年时间才能妥善解决

Povolny 表示：“攻击者几乎立即开始利用该漏洞进行非法的加密货币挖掘，或利用互联网上的合法计算资源来产生加密货币以获取经济利益...... 进一步的利用似乎已经转向盗窃私人信息。可以预见，这种攻击即将会发生演变”。

Povolny 补充说，该漏洞的影响可能是巨大的，因为它是“可蠕虫式的，可以建立自己的传播”。即使有了补丁，也有几十个版本的脆弱组件。由于已经观察到的攻击数量巨大，Povolny 说“可以假定许多组织已经被攻破”，并需要采取事件响应措施。

Povolny 说：“我们相信 log4shell 漏洞将持续数月甚至数年，随着补丁越来越多地推出，在未来几天和几周内将会大幅减少”。自12月9日以来，Sophos 高级威胁研究员 Sean Gallagher 说，使用该漏洞的攻击从试图安装硬币矿工--包括Kinsing矿工僵尸网络--演变为更复杂的努力。

Gallagher 表示：“最近的情报显示，攻击者正试图利用该漏洞暴露亚马逊网络服务账户使用的密钥。还有迹象表明，攻击者试图利用该漏洞在受害者网络中安装远程访问工具，可能是Cobalt Strike，这是许多勒索软件攻击中的一个关键工具”。