Vincent Canfield, amministratore di email è hosting reseller cock.li, hà scupertu chì tutta a so reta IP hè stata automaticamente aghjunta à a lista UCEPROTECT DNSBL per scanning portu da e macchine virtuali vicine. A subnet di Vincent hè stata inclusa in a lista di u Livellu 3, in quale u bluccatu hè realizatu da numeri di sistema autonomi è copre subnets intere da quale i detectori di spam sò stati attivati ripetutamente è per diversi indirizzi. In u risultatu, u fornitore M247 hà disattivatu a publicità di una di e so rete in BGP, sospendendu in modu efficace u serviziu.
U prublema hè chì i servitori falsi di UCEPROTECT, chì pretendenu esse relè aperti è registrà i tentativi di mandà mail per elli stessi, includenu automaticamente l'indirizzi in a lista di blocchi basatu annantu à qualsiasi attività di rete, senza cuntrollà a cunnessione di a rete. Un metudu di blocklisting simili hè ancu utilizatu da u prughjettu Spamhaus.
Per entra in a lista di bloccu, hè abbastanza per mandà un pacchettu TCP SYN, chì pò esse sfruttatu da l'attaccanti. In particulare, postu chì a cunferma bidirezionale di una cunnessione TCP ùn hè micca necessariu, hè pussibule aduprà spoofing per mandà un pacchettu chì indica un indirizzu IP falsu è inizià l'ingressu in a lista di blocchi di qualsiasi host. Quandu si simule l'attività da parechji indirizzi, hè pussibule di scalate u bluccatu à u Livellu 2 è u Livellu 3, chì eseguenu u bloccu da subnetwork è numeri di sistema autonomu.
A lista di u Livellu 3 hè stata creata urigginariamente per cumbatte i fornituri chì incuragiscenu l'attività di i clienti maliziusi è ùn rispundenu micca à lagnanza (per esempiu, siti d'ospiti creati specificamente per accoglie cuntenutu illegale o serve spammers). Uni pochi ghjorni fà, UCEPROTECT hà cambiatu e regule per entra in a lista di Livellu 2 è Livellu 3, chì hà purtatu à un filtru più aggressivu è un aumentu di a dimensione di e liste. Per esempiu, u numeru di entrate in a lista di u Livellu 3 hè cresciutu da 28 à 843 sistemi autonomi.
Per contru à UCEPROTECT, l'idea hè stata avanzata per aduprà indirizzi falsificati durante a scansione chì indicanu IP da a gamma di patrocinatori UCEPROTECT. In u risultatu, UCEPROTECT hà intrutu in l'indirizzi di i so patrocinatori è parechje altre persone innocenti in i so basa di dati, chì creanu prublemi cù a spedizione di email. A reta di Sucuri CDN hè stata inclusa ancu in a lista di bloccu.
Source: opennet.ru