Vincent Canfield, administrateur du revendeur de messagerie et d'hébergement cock.li, a découvert que l'ensemble de son réseau IP était automatiquement ajouté à la liste DNSBL UCEPROTECT pour l'analyse des ports des machines virtuelles voisines. Le sous-réseau de Vincent a été inclus dans la liste de niveau 3, dans laquelle le blocage est effectué par des numéros de système autonomes et couvre des sous-réseaux entiers à partir desquels des détecteurs de spam ont été déclenchés à plusieurs reprises et pour différentes adresses. En conséquence, le fournisseur M247 a désactivé la publicité de l'un de ses réseaux en BGP, suspendant ainsi le service.
Le problème est que les faux serveurs UCEPROTECT, qui prétendent être des relais ouverts et enregistrent les tentatives d'envoi de courrier par eux-mêmes, incluent automatiquement les adresses dans la liste de blocage en fonction de toute activité réseau, sans vérifier l'établissement d'une connexion réseau. Une méthode de liste de blocage similaire est également utilisée par le projet Spamhaus.
Pour entrer dans la liste de blocage, il suffit d'envoyer un paquet TCP SYN, qui peut être exploité par des attaquants. En particulier, comme la confirmation bidirectionnelle d'une connexion TCP n'est pas requise, il est possible d'utiliser l'usurpation d'identité pour envoyer un paquet indiquant une fausse adresse IP et initier l'entrée dans la liste de blocage de n'importe quel hôte. Lors de la simulation de l'activité de plusieurs adresses, il est possible d'élever le blocage aux niveaux 2 et 3, qui effectuent le blocage par numéros de sous-réseau et de système autonome.
La liste de niveau 3 a été créée à l'origine pour lutter contre les fournisseurs qui encouragent les activités malveillantes des clients et ne répondent pas aux plaintes (par exemple, les sites d'hébergement spécialement créés pour héberger du contenu illégal ou servir des spammeurs). Il y a quelques jours, UCEPROTECT a modifié les règles d'accès aux listes de niveau 2 et de niveau 3, ce qui a conduit à un filtrage plus agressif et à une augmentation de la taille des listes. Par exemple, le nombre d’entrées dans la liste de niveau 3 est passé de 28 à 843 systèmes autonomes.
Pour contrer UCEPROTECT, l'idée a été avancée d'utiliser des adresses usurpées lors de l'analyse indiquant les adresses IP de la gamme des sponsors d'UCEPROTECT. En conséquence, UCEPROTECT a entré les adresses de ses sponsors et de nombreuses autres personnes innocentes dans ses bases de données, ce qui a créé des problèmes de livraison des courriers électroniques. Le réseau Sucuri CDN a également été inclus dans la liste de blocage.
Source: opennet.ru