Vincent Canfield, administrador del revendedor de alojamiento y correo electrónico cock.li, descubrió que toda su red IP se agregaba automáticamente a la lista DNSBL de UCEPROTECT para el escaneo de puertos desde máquinas virtuales vecinas. La subred de Vincent se incluyó en la lista de Nivel 3, en la que el bloqueo se realiza mediante números de sistema autónomos y cubre subredes enteras desde las cuales se activaron detectores de spam repetidamente y para diferentes direcciones. Como resultado, el proveedor de M247 deshabilitó la publicidad de una de sus redes en BGP, suspendiendo efectivamente el servicio.
El problema es que los servidores falsos de UCEPROTECT, que pretenden ser relés abiertos y registrar intentos de enviar correo a través de ellos mismos, incluyen automáticamente direcciones en la lista de bloqueo en función de cualquier actividad de la red, sin verificar el establecimiento de una conexión de red. El proyecto Spamhaus también utiliza un método de lista de bloqueo similar.
Para entrar en la lista de bloqueo, basta con enviar un paquete TCP SYN, que puede ser explotado por los atacantes. En particular, dado que no se requiere confirmación bidireccional de una conexión TCP, es posible utilizar la suplantación de identidad para enviar un paquete que indique una dirección IP falsa e iniciar la entrada en la lista de bloqueo de cualquier host. Al simular actividad de varias direcciones, es posible escalar el bloqueo al Nivel 2 y al Nivel 3, que realizan el bloqueo por subred y números de sistema autónomo.
La lista de Nivel 3 se creó originalmente para combatir a los proveedores que fomentan la actividad maliciosa de los clientes y no responden a las quejas (por ejemplo, sitios de alojamiento creados específicamente para alojar contenido ilegal o atender a los spammers). Hace unos días, UCEPROTECT cambió las reglas para ingresar a las listas de Nivel 2 y Nivel 3, lo que llevó a un filtrado más agresivo y un aumento en el tamaño de las listas. Por ejemplo, el número de entradas en la lista de Nivel 3 aumentó de 28 a 843 sistemas autónomos.
Para contrarrestar a UCEPROTECT, se propuso la idea de utilizar direcciones falsificadas durante el escaneo que indiquen IP de la gama de patrocinadores de UCEPROTECT. Como resultado, UCEPROTECT ingresó las direcciones de sus patrocinadores y de muchas otras personas inocentes en sus bases de datos, lo que creó problemas con la entrega de correo electrónico. La red Sucuri CDN también fue incluida en la lista de bloqueo.
Fuente: opennet.ru