Vincent Canfield, Administrator des E-Mail- und Hosting-Resellers cock.li, entdeckte, dass sein gesamtes IP-Netzwerk automatisch zur UCEPROTECT DNSBL-Liste für das Port-Scannen benachbarter virtueller Maschinen hinzugefügt wurde. Vincents Subnetz wurde in die Level-3-Liste aufgenommen, in der die Blockierung durch autonome Systemnummern erfolgt und ganze Subnetze umfasst, von denen aus Spam-Detektoren wiederholt und für verschiedene Adressen ausgelöst wurden. Infolgedessen hat der M247-Anbieter die Werbung für eines seiner Netzwerke im BGP deaktiviert und damit den Dienst praktisch eingestellt.
Das Problem besteht darin, dass gefälschte UCEPROTECT-Server, die vorgeben, offene Relays zu sein und Versuche, E-Mails über sich selbst zu senden, aufzeichnen, Adressen basierend auf jeder Netzwerkaktivität automatisch in die Sperrliste aufnehmen, ohne den Aufbau einer Netzwerkverbindung zu überprüfen. Eine ähnliche Blocklisting-Methode wird auch vom Spamhaus-Projekt verwendet.
Um in die Sperrliste zu gelangen, reicht es aus, ein TCP-SYN-Paket zu senden, das von Angreifern ausgenutzt werden kann. Da eine bidirektionale Bestätigung einer TCP-Verbindung nicht erforderlich ist, ist es insbesondere möglich, mithilfe von Spoofing ein Paket mit einer gefälschten IP-Adresse zu senden und den Eintrag in die Sperrliste eines beliebigen Hosts zu veranlassen. Bei der Simulation der Aktivität von mehreren Adressen ist es möglich, die Blockierung auf Level 2 und Level 3 zu eskalieren, die die Blockierung nach Subnetzwerk- und autonomen Systemnummern durchführen.
Die Level-3-Liste wurde ursprünglich erstellt, um Anbieter zu bekämpfen, die böswillige Kundenaktivitäten fördern und nicht auf Beschwerden reagieren (z. B. Hosting-Sites, die speziell für das Hosten illegaler Inhalte oder für Spammer erstellt wurden). Vor einigen Tagen hat UCEPROTECT die Regeln für den Zugriff auf die Level-2- und Level-3-Listen geändert, was zu einer aggressiveren Filterung und einer Vergrößerung der Listen führte. So wuchs beispielsweise die Zahl der Einträge in der Level-3-Liste von 28 auf 843 autonome Systeme.
Um UCEPROTECT entgegenzuwirken, wurde die Idee vorgeschlagen, beim Scannen gefälschte Adressen zu verwenden, die auf IPs aus dem Bereich der UCEPROTECT-Sponsoren hinweisen. Infolgedessen gab UCEPROTECT die Adressen seiner Sponsoren und vieler anderer unschuldiger Personen in seine Datenbanken ein, was zu Problemen bei der E-Mail-Zustellung führte. Auch das Sucuri-CDN-Netzwerk wurde in die Sperrliste aufgenommen.
Source: opennet.ru