Er hebben vooralsnog geen aanzienlijke aanvallen via de Log4j-kwetsbaarheid plaatsgevonden, zo stelt Jen Easterly, hoofd van het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Tijdens een persbijeenkomst liet Easterly weten dat de impact van het beveiligingslek lijkt mee te vallen.

"Op dit moment hebben we nog niet gezien dat het gebruik van Log4Shell tot noemenswaardige inbraken heeft geleid", aldus Easterly. Ze merkt op dat dit kan komen omdat geraffineerde aanvallers het beveiligingslek al hebben misbruikt en wachten met verdere aanvallen totdat organisaties minder alert zijn. Aan de andere kant kan het ook komen doordat verdedigers snel in actie kwamen en de meeste kwetsbare machines hebben beschermd.

Het CISA heeft ook nog geen bevestigde succesvolle aanvallen op federale overheidsinstanties en de vitale infrastructuur gezien. Wel verwacht Easterly dat Log4Shell nog lang bij aanvallen zal worden gebruikt. Bij de nu waargenomen aanvallen werden voornamelijk cryptominers geïnstalleerd of systemen aan een botnet toegevoegd. Volgens het CISA zijn meer dan 2800 producten door de Log4j-kwetsbaarheid getroffen. Het overzicht hiervan is honderdduizenden keren bekeken. De Log4j-scanner die het CISA ontwikkelde is al bijna vierduizend keer gedownload.