Vincent Canfield, administrator poczty e-mail i sprzedawca hostingucock.li, odkrył, że cała jego sieć IP została automatycznie dodana do listy DNSBL UCEPROTECT w celu skanowania portów z sąsiednich maszyn wirtualnych. Podsieć Vincenta znalazła się na liście Poziomu 3, w której blokowanie realizowane jest przez numery systemów autonomicznych i obejmuje całe podsieci, z których wielokrotnie i dla różnych adresów uruchamiane były detektory spamu. W efekcie dostawca M247 wyłączył reklamę jednej ze swoich sieci w BGP, skutecznie zawieszając usługę.
Problem polega na tym, że fałszywe serwery UCEPROTECT, które udają otwarte przekaźniki i same rejestrują próby wysłania poczty, automatycznie umieszczają adresy na liście blokowanych na podstawie jakiejkolwiek aktywności sieciowej, bez sprawdzania nawiązania połączenia sieciowego. Podobną metodę blokowania wykorzystuje także projekt Spamhaus.
Aby dostać się na listę blokowanych wystarczy wysłać jeden pakiet TCP SYN, który może zostać wykorzystany przez atakujących. W szczególności, ponieważ nie jest wymagane dwukierunkowe potwierdzenie połączenia TCP, możliwe jest wykorzystanie spoofingu do wysłania pakietu wskazującego fałszywy adres IP i zainicjowania wpisu na listę zablokowanych dowolnego hosta. Symulując aktywność z kilku adresów, możliwa jest eskalacja blokowania do Poziomu 2 i Poziomu 3, które realizują blokowanie według numerów podsieci i systemów autonomicznych.
Lista poziomu 3 została pierwotnie utworzona w celu zwalczania dostawców, którzy zachęcają klientów do złośliwego działania i nie odpowiadają na skargi (na przykład witryny hostingowe stworzone specjalnie do hostowania nielegalnych treści lub obsługi spamerów). Kilka dni temu UCEPROTECT zmienił zasady dotarcia do list poziomu 2 i poziomu 3, co doprowadziło do bardziej agresywnego filtrowania i zwiększenia rozmiaru list. Przykładowo liczba wpisów na liście Poziomu 3 wzrosła z 28 do 843 systemów autonomicznych.
Aby przeciwdziałać UCEPROTECT, zaproponowano wykorzystanie sfałszowanych adresów podczas skanowania wskazujących adresy IP z zakresu sponsorów UCEPROTECT. W rezultacie UCEPROTECT wprowadził do swoich baz danych adresy swoich sponsorów i wielu innych niewinnych osób, co spowodowało problemy z dostarczaniem wiadomości e-mail. Na liście blokowanych znalazła się także sieć Sucuri CDN.
Źródło: opennet.ru