Vincent Canfield, administratör för e-post- och värdåterförsäljare cock.li, upptäckte att hela hans IP-nätverk automatiskt lades till i UCEPROTECT DNSBL-listan för portskanning från angränsande virtuella maskiner. Vincents subnät ingick i nivå 3-listan, där blockering utförs av autonoma systemnummer och täcker hela subnät från vilka skräppostdetektorer triggades upprepade gånger och för olika adresser. Som ett resultat avaktiverade M247-leverantören annonseringen av ett av sina nätverk i BGP, vilket i praktiken stoppade tjänsten.
Problemet är att falska UCEPROTECT-servrar, som utger sig för att vara öppna reläer och registrerar försök att skicka e-post via sig själva, automatiskt inkluderar adresser i blockeringslistan baserat på nätverksaktivitet, utan att kontrollera etableringen av en nätverksanslutning. En liknande blocklistningsmetod används också av Spamhaus-projektet.
För att komma in i blockeringslistan räcker det att skicka ett TCP SYN-paket, som kan utnyttjas av angripare. I synnerhet, eftersom tvåvägsbekräftelse av en TCP-anslutning inte krävs, är det möjligt att använda spoofing för att skicka ett paket som indikerar en falsk IP-adress och initiera inträde i blocklistan för vilken värd som helst. Vid simulering av aktivitet från flera adresser är det möjligt att eskalera blockering till nivå 2 och nivå 3, som blockerar efter subnätverk och autonoma systemnummer.
Nivå 3-listan skapades ursprungligen för att bekämpa leverantörer som uppmuntrar skadlig kundaktivitet och inte svarar på klagomål (till exempel värdwebbplatser som skapats specifikt för att hysa olagligt innehåll eller betjäna spammare). För några dagar sedan ändrade UCEPROTECT reglerna för att komma in på nivå 2- och nivå 3-listorna, vilket ledde till mer aggressiv filtrering och en ökning av storleken på listorna. Till exempel växte antalet poster i nivå 3-listan från 28 till 843 autonoma system.
För att motverka UCEPROTECT lades idén fram att använda falska adresser under skanning som indikerar IP-adresser från UCEPROTECT-sponsorernas utbud. Som ett resultat skrev UCEPROTECT in adresserna till sina sponsorer och många andra oskyldiga människor i sina databaser, vilket skapade problem med e-postleverans. Sucuri CDN-nätverket ingick också i blockeringslistan.
Källa: opennet.ru