Vincent Canfield, administrator af e-mail- og hostingforhandler cock.li, opdagede, at hele hans IP-netværk automatisk blev tilføjet til UCEPROTECT DNSBL-listen til portscanning fra tilstødende virtuelle maskiner. Vincents undernet blev inkluderet på niveau 3-listen, hvor blokering udføres af autonome systemnumre og dækker hele undernet, hvorfra spam-detektorer blev udløst gentagne gange og til forskellige adresser. Som følge heraf deaktiverede M247-udbyderen annoncering af et af sine netværk i BGP, hvilket reelt suspenderede tjenesten.
Problemet er, at falske UCEPROTECT-servere, som foregiver at være åbne relæer og registrerer forsøg på at sende e-mail gennem sig selv, automatisk inkluderer adresser i blokeringslisten baseret på enhver netværksaktivitet uden at tjekke netværksforbindelsen. En lignende bloklistemetode bruges også af Spamhaus-projektet.
For at komme ind på blokeringslisten er det nok at sende en TCP SYN-pakke, som kan udnyttes af angribere. Især, da tovejsbekræftelse af en TCP-forbindelse ikke er påkrævet, er det muligt at bruge spoofing til at sende en pakke, der angiver en falsk IP-adresse, og starte indtastning i bloklisten for enhver vært. Ved simulering af aktivitet fra flere adresser er det muligt at eskalere blokering til niveau 2 og niveau 3, som udfører blokering af undernetværk og autonome systemnumre.
Niveau 3-listen blev oprindeligt oprettet for at bekæmpe udbydere, der tilskynder til ondsindet kundeaktivitet og ikke reagerer på klager (f.eks. hostingwebsteder, der er specielt oprettet til at hoste ulovligt indhold eller betjene spammere). For et par dage siden ændrede UCEPROTECT reglerne for at komme ind på niveau 2 og niveau 3 listerne, hvilket førte til mere aggressiv filtrering og en stigning i størrelsen af listerne. For eksempel voksede antallet af poster på niveau 3-listen fra 28 til 843 autonome systemer.
For at modvirke UCEPROTECT blev ideen fremsat om at bruge forfalskede adresser under scanning, der angiver IP'er fra rækken af UCEPROTECT-sponsorer. Som et resultat indtastede UCEPROTECT adresserne på sine sponsorer og mange andre uskyldige mennesker i sine databaser, hvilket skabte problemer med levering af e-mail. Sucuri CDN-netværket var også inkluderet på blokeringslisten.
Kilde: opennet.ru