Cock.li e-posta ve barındırma satıcısı yöneticisi Vincent Canfield, komşu sanal makinelerden bağlantı noktası taraması için tüm IP ağının otomatik olarak UCEPROTECT DNSBL listesine eklendiğini keşfetti. Vincent'ın alt ağı, engellemenin otonom sistem numaraları tarafından gerçekleştirildiği ve spam dedektörlerinin defalarca ve farklı adresler için tetiklendiği alt ağların tamamını kapsadığı Seviye 3 listesine dahil edildi. Sonuç olarak M247 sağlayıcısı, BGP'deki ağlarından birinin reklamını devre dışı bırakarak hizmeti fiilen askıya aldı.
Sorun, açık aktarma gibi davranan ve posta gönderme girişimlerini kendileri üzerinden kaydeden sahte UCEPROTECT sunucularının, bir ağ bağlantısının kurulmasını kontrol etmeden, herhangi bir ağ etkinliğine dayalı olarak adresleri otomatik olarak engelleme listesine eklemesidir. Benzer bir engelleme listesi yöntemi Spamhaus projesinde de kullanılıyor.
Engelleme listesine girmek için saldırganların yararlanabileceği bir TCP SYN paketi göndermek yeterlidir. Özellikle, TCP bağlantısının iki yönlü onayı gerekmediğinden, sahte IP adresini belirten bir paket göndermek ve herhangi bir ana bilgisayarın blok listesine girişi başlatmak için sahteciliği kullanmak mümkündür. Çeşitli adreslerden gelen etkinlikleri simüle ederken, engellemeyi alt ağ ve otonom sistem numaralarına göre gerçekleştiren Düzey 2 ve Düzey 3'e yükseltmek mümkündür.
Düzey 3 listesi, başlangıçta kötü niyetli müşteri faaliyetlerini teşvik eden ve şikayetlere yanıt vermeyen sağlayıcılarla (örneğin, özellikle yasa dışı içerik barındırmak veya spam gönderenlere hizmet vermek için oluşturulmuş barındırma siteleri) mücadele etmek için oluşturulmuştur. Birkaç gün önce UCEPROTECT, Düzey 2 ve Düzey 3 listelerine girme kurallarını değiştirdi; bu da daha agresif filtrelemeye ve listelerin boyutunda artışa yol açtı. Örneğin Seviye 3 listesindeki girişlerin sayısı 28'den 843'e çıktı.
UCEPROTECT'e karşı koymak için, tarama sırasında UCEPROTECT sponsorları aralığındaki IP'leri gösteren sahte adreslerin kullanılması fikri ortaya atıldı. Sonuç olarak UCEPROTECT, sponsorlarının ve diğer birçok masum insanın adreslerini veritabanlarına girdi ve bu da e-posta dağıtımında sorunlar yarattı. Sucuri CDN ağı da engelleme listesine dahil edildi.
Kaynak: opennet.ru