Vincent Canfield, sähköpostin ylläpitäjä ja hosting-jälleenmyyjä cock.li, havaitsi, että hänen koko IP-verkkonsa lisättiin automaattisesti UCEPROTECT DNSBL -luetteloon viereisten virtuaalikoneiden porttien skannausta varten. Vincentin aliverkko sisällytettiin tason 3 luetteloon, jossa esto suoritetaan autonomisten järjestelmänumeroiden avulla ja se kattaa kokonaiset aliverkot, joista roskapostitunnistimet laukaisivat toistuvasti ja eri osoitteille. Tämän seurauksena M247-palveluntarjoaja poisti yhden verkkonsa mainonnan BGP:ssä ja keskeytti palvelun.
Ongelmana on, että väärennetyt UCEPROTECT-palvelimet, jotka teeskentelevät olevansa avoimia välityksiä ja tallentavat yrityksiä lähettää postia itsensä kautta, sisällyttävät automaattisesti osoitteita estolistaan verkkotoiminnan perusteella tarkistamatta verkkoyhteyden muodostusta. Samanlaista estolistausmenetelmää käyttää myös Spamhaus-projekti.
Estolistalle pääsemiseksi riittää, että lähetät yhden TCP SYN -paketin, jota hyökkääjät voivat hyödyntää. Erityisesti, koska TCP-yhteyden kaksisuuntaista vahvistusta ei vaadita, on mahdollista käyttää huijausta lähettämään paketti, joka ilmaisee väärennetyn IP-osoitteen ja aloittaa pääsyn minkä tahansa isännän estoluetteloon. Simuloimalla toimintaa useista osoitteista on mahdollista eskaloida eskalointi tasolle 2 ja tasolle 3, jotka suorittavat eston aliverkon ja autonomisten järjestelmänumeroiden perusteella.
Tason 3 luettelo luotiin alun perin torjumaan palveluntarjoajia, jotka kannustavat asiakkaiden haitalliseen toimintaan eivätkä vastaa valituksiin (esimerkiksi isännöintisivustot, jotka on erityisesti luotu isännöimään laitonta sisältöä tai palvelemaan roskapostittajia). Muutama päivä sitten UCEPROTECT muutti tason 2 ja tason 3 listoille pääsyn sääntöjä, mikä johti aggressiivisempaan suodatukseen ja listojen koon kasvuun. Esimerkiksi tason 3 luettelossa olevien merkintöjen määrä kasvoi 28:sta 843 autonomiseen järjestelmään.
UCEPROTECTin torjumiseksi esitettiin idea käyttää väärennettyjä osoitteita skannauksen aikana, jotka osoittavat UCEPROTECT-sponsoreiden IP-osoitteet. Tämän seurauksena UCEPROTECT syötti sponsoreidensa ja monien muiden viattomien henkilöiden osoitteet tietokantoihinsa, mikä aiheutti ongelmia sähköpostin toimittamisessa. Myös Sucuri CDN -verkko sisällytettiin estolistalle.
Lähde: opennet.ru