Vincent Canfield, a cock.li e-mail- és tárhely-viszonteladó adminisztrátora felfedezte, hogy a teljes IP-hálózata automatikusan felkerült az UCEPROTECT DNSBL-listára a szomszédos virtuális gépekről történő portellenőrzés céljából. Vincent alhálózata felkerült a 3. szintű listára, amelyben a blokkolást autonóm rendszerszámok végzik, és olyan teljes alhálózatokat fed le, amelyekről a spamdetektorok többször és különböző címekre váltottak ki. Ennek eredményeként az M247-es szolgáltató letiltotta egyik hálózatának hirdetését a BGP-ben, gyakorlatilag felfüggesztve a szolgáltatást.
A probléma az, hogy a hamis UCEPROTECT szerverek, amelyek nyílt közvetítőknek adják ki magukat, és saját magukon keresztül rögzítik a levélküldési kísérleteket, minden hálózati tevékenység alapján automatikusan felvesznek címeket a tiltólistába, anélkül, hogy ellenőriznék a hálózati kapcsolatot. Hasonló blokkolási módszert használ a Spamhaus projekt is.
A tiltólistára kerüléshez elegendő egy TCP SYN csomag elküldése, amelyet kihasználhatnak a támadók. Különösen, mivel a TCP-kapcsolat kétirányú megerősítése nem szükséges, lehetséges a hamisítás egy hamis IP-címet jelző csomag küldésére, és bármely gazdagép blokklistájába való belépést kezdeményezhet. Több címről történő tevékenység szimulálásakor lehetőség van a blokkolást 2. és 3. szintre emelni, amelyek alhálózati és autonóm rendszerszámok alapján hajtják végre a blokkolást.
A 3. szintű lista eredetileg az ügyfelek rosszindulatú tevékenységét ösztönző és a panaszokra nem reagáló szolgáltatók elleni küzdelemre jött létre (például kifejezetten illegális tartalom tárolására vagy spammerek kiszolgálására létrehozott webhelyek). Néhány napja az UCEPROTECT megváltoztatta a 2-es és 3-as szintű listákra kerülés szabályait, ami agresszívabb szűréshez és a listák méretének növekedéséhez vezetett. Például a 3. szintű listában szereplő bejegyzések száma 28-ról 843 autonóm rendszerre nőtt.
Az UCEPROTECT elleni küzdelem érdekében felmerült az az ötlet, hogy a szkennelés során hamisított címeket használjanak, amelyek az UCEPROTECT szponzorok köréből származó IP-címeket jelzik. Ennek eredményeként az UCEPROTECT bevitte szponzorai és sok más ártatlan ember címét adatbázisaiba, ami problémákat okozott az e-mailek kézbesítésében. A Sucuri CDN hálózat is bekerült a tiltólistába.
Forrás: opennet.ru