Вінсент Кенфілд (Vincent Canfield), адміністратор поштового сервісу та хостингу-реселлера cock.li, виявив, що всю його IP-мережу автоматично внесли до списку DNSBL UCEPROTECT за сканування портів із сусідніх віртуальних машин. Підмережа Вінсента потрапила до списку Level 3, в якому блокування здійснюється за номерами автономних систем та охоплює цілі підмережі, з яких багаторазово і для різних адрес спрацьовували детектори розсилки спаму. В результаті провайдер M247 відключив анонс однієї з його мереж BGP, фактично призупинивши обслуговування.
Проблема полягає в тому, що підставні сервери UCEPROTECT, які прикидаються відкритими релеями та фіксують спроби надсилання пошти через себе, автоматично включають адреси до списку блокування на основі будь-якої мережної активності без перевірки встановлення мережного з'єднання. Аналогічний метод приміщення до списку блокування також застосовується проектом Spamhaus.
Щоб потрапити до списку блокування, достатньо відправити один пакет TCP SYN, чим можуть скористатися зловмисники. Зокрема, оскільки двостороннього підтвердження TCP-з'єднання не потрібно, можна за допомогою спуфінгу відправити пакет із зазначенням підробленої IP-адреси та ініціювати попадання до списку блокування будь-якого хоста. При симуляції активності з кількох адрес можна домогтися ескалації блокування до рівнів Level 2 і Level 3, які виконують блокування по підмережах і номерам автономних систем.
Список Level 3 спочатку був створений для боротьби з провайдерами, що заохочують шкідливу активність клієнтів і не реагують на скарги (наприклад, хостинги, які спеціально створюються для розміщення нелегального контенту або обслуговування спамерів). Кілька днів тому UCEPROTECT змінив правила потрапляння до списків Level 2 та Level 3, що призвело до більш агресивної фільтрації та збільшення розміру списків. Наприклад, кількість записів у списку Level 3 зросла з 28 до 843 автономних систем.
Для протистояння UCEPROTECT було висловлено ідею використання при скануванні спуфінгу адрес із зазначенням IP з діапазону спонсорів UCEPROTECT. У результаті UCEPROTECT вніс адреси своїх спонсорів та багатьох інших невинних до своїх баз, що створило проблеми з доставкою email. До списку блокування потрапила CDN-мережа компанії Sucuri.
Джерело: opennet.ru