Vincent Canfield, administrator prodavača e-pošte i hostinga cock.li, otkrio je da je njegova cijela IP mreža automatski dodana na popis UCEPROTECT DNSBL za skeniranje portova sa susjednih virtualnih strojeva. Vincentova podmreža uvrštena je na popis razine 3, u kojoj se blokiranje provodi brojevima autonomnog sustava i pokriva cijele podmreže iz kojih su se detektori neželjene pošte aktivirali opetovano i za različite adrese. Kao rezultat toga, pružatelj usluga M247 onemogućio je oglašavanje jedne od svojih mreža u BGP-u, učinkovito obustavljajući uslugu.
Problem je u tome što lažni UCEPROTECT poslužitelji, koji se pretvaraju da su otvoreni releji i bilježe pokušaje slanja pošte preko sebe, automatski uključuju adrese u popis blokiranih na temelju bilo kakve mrežne aktivnosti, bez provjere uspostave mrežne veze. Sličnu metodu blokiranja koristi i projekt Spamhaus.
Za dolazak na popis za blokiranje dovoljno je poslati jedan TCP SYN paket koji napadači mogu iskoristiti. Konkretno, budući da dvosmjerna potvrda TCP veze nije potrebna, moguće je koristiti spoofing za slanje paketa koji označava lažnu IP adresu i iniciranje unosa na popis blokiranih bilo kojeg glavnog računala. Prilikom simulacije aktivnosti s više adresa, moguće je eskalirati blokiranje na razinu 2 i razinu 3, koje vrše blokadu prema brojevima podmreže i autonomnog sustava.
Popis razine 3 izvorno je stvoren za borbu protiv pružatelja usluga koji potiču zlonamjerne aktivnosti korisnika i ne odgovaraju na pritužbe (na primjer, hosting stranica posebno stvorenih za hostiranje ilegalnog sadržaja ili posluživanje pošiljatelja neželjene pošte). UCEPROTECT je prije nekoliko dana promijenio pravila za ulazak na liste razine 2 i razine 3, što je dovelo do agresivnijeg filtriranja i povećanja veličine lista. Na primjer, broj unosa na popisu razine 3 porastao je s 28 na 843 autonomna sustava.
Kako bi se suprotstavio UCEPROTECT-u, iznesena je ideja da se tijekom skeniranja koriste lažirane adrese koje pokazuju IP-ove iz niza sponzora UCEPROTECT-a. Zbog toga je UCEPROTECT u svoje baze podataka unio adrese svojih sponzora i mnogih drugih nedužnih ljudi, što je stvorilo probleme s dostavom e-pošte. Sucuri CDN mreža također je uvrštena na popis za blokiranje.
Izvor: opennet.ru