Вінцэнт Кэнфілд (Vincent Canfield), адміністратар паштовага сэрвісу і хостынгу-рэсэлера cock.li, выявіў, што ўсю яго IP-сетку аўтаматычна ўнеслі ў спіс DNSBL UCEPROTECT за сканіраванне партоў з суседніх віртуальных машын. Падсетка Вінцэнта патрапіла ў спіс Level 3, у якім блакіроўка ажыццяўляецца па нумарах аўтаномных сістэм і ахоплівае цэлыя падсеткі, з якіх шматкроць і для розных адрасоў спрацоўвалі дэтэктары рассылання спаму. У выніку правайдэр M247 адключыў анонс адной з яго сетак у BGP, фактычна прыпыніўшы абслугоўванне.
Праблема складаецца ў тым, што падстаўныя серверы UCEPROTECT, якія прыкідваюцца адчыненымі рэлеямі і фіксуюць спробы адпраўкі пошты праз сябе, аўтаматычна ўключаюць адрасы ў спіс блакавання на аснове любой сеткавай актыўнасці, без праверкі ўсталёўкі сеткавага злучэння. Аналагічны метад памяшкання ў спіс блакіроўкі таксама прымяняецца праектам Spamhaus.
Для траплення ў спіс блакавання дастаткова адправіць адзін пакет TCP SYN, чым могуць скарыстацца зламыснікі. У прыватнасці, бо двухбаковага пацверджання TCP-злучэнні не патрабуецца, можна пры дапамозе спуфінгу адправіць пакет з указаннем падробленага IP-адрасы і ініцыяваць трапленне ў спіс блакавання любога хаста. Пры сімуляцыі актыўнасці з некалькіх адрасоў можна дамагчыся эскалацыі блакавання да ўзроўняў Level 2 і Level 3, якія выконваюць блакаванне па падсетках і нумарам аўтаномных сістэм.
Спіс Level 3 першапачаткова быў створаны для барацьбы з правайдэрамі, якія заахвочваюць шкоднасную актыўнасць кліентаў і не рэагуюць на скаргі (напрыклад, хостынгі, якія спецыяльна ствараюцца для размяшчэння нелегальнага кантэнту або абслугоўвання спамераў). Некалькі дзён таму UCEPROTECT змяніў правілы траплення ў спісы Level 2 і Level 3, што прывяло да больш агрэсіўнага фільтравання і павелічэння памеру спісаў. Напрыклад, колькасць запісаў у спісе Level 3 вырасла з 28 да 843 аўтаномных сістэм.
Для супрацьстаяння UCEPROTECT была выказана ідэя выкарыстання пры сканаванні спуфінгу адрасоў з указаннем IP з дыяпазону фундатараў UCEPROTECT. У выніку UCEPROTECT занёс адрасы сваіх фундатараў і шматлікіх іншых невінаватых у свае базы, што стварыла праблемы з дастаўкай email. У тым ліку ў спіс блакіроўкі патрапіла CDN-сетка кампаніі Sucuri.
Крыніца: opennet.ru