Vincent Canfield, administrador de e-mail e revendedor de hospedagem cock.li, descobriu que toda a sua rede IP foi automaticamente adicionada à lista UCEPROTECT DNSBL para verificação de portas de máquinas virtuais vizinhas. A sub-rede de Vincent foi incluída na lista de Nível 3, na qual o bloqueio é realizado por números de sistema autônomos e abrange sub-redes inteiras a partir das quais os detectores de spam foram acionados repetidamente e para endereços diferentes. Como resultado, o provedor M247 desativou a publicidade de uma de suas redes em BGP, suspendendo efetivamente o serviço.
O problema é que servidores UCEPROTECT falsos, que fingem ser retransmissores abertos e registram tentativas de envio de e-mail por meio de si mesmos, incluem automaticamente endereços na lista de bloqueio com base em qualquer atividade de rede, sem verificar a conexão de rede. Um método semelhante de lista de bloqueio também é usado pelo projeto Spamhaus.
Para entrar na lista de bloqueio, basta enviar um pacote TCP SYN, que pode ser explorado por invasores. Em particular, como não é necessária a confirmação bidirecional de uma conexão TCP, é possível usar spoofing para enviar um pacote indicando um endereço IP falso e iniciar a entrada na lista de bloqueio de qualquer host. Ao simular atividades de vários endereços, é possível escalar o bloqueio para o Nível 2 e o Nível 3, que realizam o bloqueio por sub-redes e números de sistemas autônomos.
A lista da Level 3 foi originalmente criada para combater provedores que incentivam atividades maliciosas dos clientes e não respondem a reclamações (por exemplo, hospedagem de sites criados especificamente para hospedar conteúdo ilegal ou servir spammers). Há poucos dias, o UCEPROTECT alterou as regras de acesso às listas de Nível 2 e Nível 3, o que levou a uma filtragem mais agressiva e ao aumento do tamanho das listas. Por exemplo, o número de entradas na lista de Nível 3 cresceu de 28 para 843 sistemas autónomos.
Para combater o UCEPROTECT, foi apresentada a ideia de usar endereços falsificados durante a varredura indicando IPs da gama de patrocinadores do UCEPROTECT. Como resultado, a UCEPROTECT inseriu os endereços de seus patrocinadores e de muitas outras pessoas inocentes em seus bancos de dados, o que criou problemas na entrega de e-mails. A rede Sucuri CDN também foi incluída na lista de bloqueio.
Fonte: opennet.ru