Vincent Canfield, administrador do revendedor de correo electrónico e aloxamento cock.li, descubriu que toda a súa rede IP engadíase automaticamente á lista DNSBL de UCEPROTECT para a exploración de portos desde máquinas virtuais veciñas. A subrede de Vincent incluíuse na lista de Nivel 3, na que o bloqueo realízase mediante números de sistemas autónomos e abarca subredes enteiras desde as que se activaron repetidamente detectores de spam e para diferentes enderezos. Como resultado, o provedor M247 desactivou a publicidade dunha das súas redes en BGP, suspendendo efectivamente o servizo.
O problema é que os falsos servidores de UCEPROTECT, que pretenden ser relés abertos e rexistran os intentos de enviar correo por si mesmos, inclúen automaticamente enderezos na lista de bloqueados en función de calquera actividade da rede, sen comprobar o establecemento dunha conexión á rede. O proxecto Spamhaus tamén usa un método de lista de bloques similar.
Para entrar na lista de bloqueo, abonda con enviar un paquete TCP SYN, que pode ser explotado polos atacantes. En particular, dado que non é necesaria a confirmación bidireccional dunha conexión TCP, é posible utilizar a suplantación para enviar un paquete que indica un enderezo IP falso e iniciar a entrada na lista de bloqueo de calquera host. Ao simular a actividade de varios enderezos, é posible escalar o bloqueo ao Nivel 2 e ao Nivel 3, que realizan o bloqueo por números de subrede e sistema autónomo.
A lista de nivel 3 creouse orixinalmente para loitar contra os provedores que fomentan a actividade dos clientes maliciosos e non responden ás queixas (por exemplo, sitios de hospedaxe creados especificamente para aloxar contido ilegal ou servir aos spammers). UCEPROTECT cambiou hai uns días as normas para entrar nas listas de Nivel 2 e Nivel 3, o que provocou un filtrado máis agresivo e un aumento do tamaño das listas. Por exemplo, o número de entradas na lista de Nivel 3 pasou de 28 a 843 sistemas autónomos.
Para contrarrestar a UCEPROTECT, propúxose a idea de utilizar enderezos falsificados durante a dixitalización que indiquen as IP da gama de patrocinadores de UCEPROTECT. Como resultado, UCEPROTECT introduciu nas súas bases de datos os enderezos dos seus patrocinadores e de moitas outras persoas inocentes, o que provocou problemas coa entrega do correo electrónico. A rede Sucuri CDN tamén se incluíu na lista de bloqueo.
Fonte: opennet.ru