Vincent Canfield, administrator for e-post- og hostingforhandler cock.li, oppdaget at hele IP-nettverket hans automatisk ble lagt til UCEPROTECT DNSBL-listen for portskanning fra virtuelle maskiner i nærheten. Vincents undernett ble inkludert i nivå 3-listen, der blokkering utføres av autonome systemnumre og dekker hele undernett som spam-detektorer ble utløst fra gjentatte ganger og for forskjellige adresser. Som et resultat deaktiverte M247-leverandøren annonseringen av et av nettverkene sine i BGP, og suspenderte effektivt tjenesten.
Problemet er at falske UCEPROTECT-servere, som utgir seg for å være åpne releer og registrerer forsøk på å sende e-post gjennom seg selv, automatisk inkluderer adresser i blokkeringslisten basert på eventuell nettverksaktivitet, uten å sjekke etableringen av en nettverksforbindelse. En lignende blokkeringsmetode brukes også av Spamhaus-prosjektet.
For å komme inn på blokkeringslisten er det nok å sende én TCP SYN-pakke, som kan utnyttes av angripere. Spesielt siden toveis bekreftelse av en TCP-tilkobling ikke er nødvendig, er det mulig å bruke spoofing for å sende en pakke som indikerer en falsk IP-adresse og starte oppføring i blokkeringslisten til en hvilken som helst vert. Ved simulering av aktivitet fra flere adresser er det mulig å eskalere blokkering til nivå 2 og nivå 3, som utfører blokkering av undernettverk og autonome systemnumre.
Nivå 3-listen ble opprinnelig opprettet for å bekjempe leverandører som oppmuntrer til ondsinnet kundeaktivitet og som ikke svarer på klager (for eksempel vertssider spesielt opprettet for å være vert for ulovlig innhold eller betjene spammere). For noen dager siden endret UCEPROTECT reglene for å komme inn på nivå 2- og nivå 3-listene, noe som førte til mer aggressiv filtrering og en økning i størrelsen på listene. For eksempel økte antallet oppføringer i nivå 3-listen fra 28 til 843 autonome systemer.
For å motvirke UCEPROTECT ble ideen fremmet om å bruke falske adresser under skanning som indikerer IP-er fra rekke UCEPROTECT-sponsorer. Som et resultat la UCEPROTECT inn adressene til sine sponsorer og mange andre uskyldige mennesker i databasene sine, noe som skapte problemer med e-postlevering. Sucuri CDN-nettverket var også inkludert i blokkeringslisten.
Kilde: opennet.ru