Vincent Canfield, beheerder van e-mail- en hostingreseller cock.li, ontdekte dat zijn volledige IP-netwerk automatisch werd toegevoegd aan de UCEPROTECT DNSBL-lijst voor het scannen van poorten vanaf aangrenzende virtuele machines. Het subnet van Vincent is opgenomen in de Level 3-lijst, waarin de blokkering wordt uitgevoerd door autonome systeemnummers en hele subnetten bestrijkt van waaruit spamdetectoren herhaaldelijk en voor verschillende adressen zijn geactiveerd. Als gevolg hiervan heeft de M247-provider de reclame voor een van zijn netwerken in BGP uitgeschakeld, waardoor de service feitelijk werd opgeschort.
Het probleem is dat valse UCEPROTECT-servers, die zich voordoen als open relais en pogingen registreren om e-mail via zichzelf te verzenden, automatisch adressen in de blokkeerlijst opnemen op basis van netwerkactiviteit, zonder de totstandkoming van een netwerkverbinding te controleren. Een soortgelijke blocklisting-methode wordt ook gebruikt door het Spamhaus-project.
Om op de blokkeerlijst te komen, volstaat het om één TCP SYN-pakket te verzenden, dat door aanvallers kan worden misbruikt. Omdat tweerichtingsbevestiging van een TCP-verbinding niet vereist is, is het met name mogelijk om spoofing te gebruiken om een pakket te verzenden dat een vals IP-adres aangeeft en toegang tot de blokkeerlijst van een willekeurige host te initiëren. Bij het simuleren van activiteit vanaf meerdere adressen is het mogelijk om de blokkering te escaleren naar Niveau 2 en Niveau 3, die de blokkering uitvoeren via subnetwerk- en autonome systeemnummers.
De Niveau 3-lijst is oorspronkelijk opgesteld om providers te bestrijden die kwaadwillige klantactiviteiten aanmoedigen en niet reageren op klachten (bijvoorbeeld hostingsites die specifiek zijn gemaakt om illegale inhoud te hosten of spammers te bedienen). Een paar dagen geleden veranderde UCEPROTECT de regels voor toegang tot de Level 2- en Level 3-lijsten, wat leidde tot agressievere filters en een toename van de omvang van de lijsten. Zo groeide het aantal vermeldingen in de Level 3-lijst van 28 naar 843 autonome systemen.
Om UCEPROTECT tegen te gaan, werd het idee naar voren gebracht om tijdens het scannen vervalste adressen te gebruiken die IP's uit de reeks UCEPROTECT-sponsors aangeven. Als gevolg hiervan heeft UCEPROTECT de adressen van zijn sponsors en vele andere onschuldige mensen in zijn databases ingevoerd, wat problemen veroorzaakte met de e-mailbezorging. Het Sucuri CDN-netwerk stond ook op de blokkeerlijst.
Bron: opennet.ru