Suicide
15.02.2021, 19:05
Винсент Кэнфилд (Vincent Canfield), администратор почтового сервиса и хостинга-реселлера cock.li, обнаружил (https://twitter.com/gexcolo/status/1359541175515029505), что всю его IP-сеть автоматически внесли в список DNSBL UCEPROTECT (http://www.uceprotect.net/en/index.php) за сканирование портов с соседних виртуальных машин. Подсеть Винсента попала в список Level 3 (http://www.uceprotect.net/en/index.php?m=3&s=5), в котором блокировка осуществляется по номерам автономных систем и охватывает целые подсети, с которых многократно и для разных адресов срабатывали детекторы рассылки спама. В результате провайдер M247 отключил анонс одной из его сетей в BGP, фактически приостановив обслуживание.
Проблема заключается в том, что подставные серверы UCEPROTECT, которые притворяются открытыми релеями и фиксируют попытки отправки почты через себя, автоматически включают адреса в список блокировки на основе любой сетевой активности, без проверки установки сетевого соединения. Аналогичный метод помещения в список блокировки также применяется (https://twitter.com/gexcolo/status/1114539137233752064) проектом Spamhaus.
Для попадания в список блокировки достаточно отправить один пакет TCP SYN, чем могут воспользоваться злоумышленники. В частности, так как двустороннего подтверждения TCP-соединения не требуется, можно при помощи спуфинга отправить пакет с указанием поддельного IP-адреса и инициировать попадание в список блокировки любого хоста. При симуляции активности с нескольких адресов можно добиться эскалации блокировки до уровней Level 2 и Level 3, которые выполняют блокировку по подсетям и номерам автономных систем.
Список Level 3 изначально был создан для борьбы с провайдерами, поощряющими вредоносную активность клиентов и не реагирующими на жалобы (например, хостинги, специально создаваемые для размещения нелегального контента или обслуживания спамеров). Несколько дней назад UCEPROTECT изменил (http://www.uceprotect.net/en/index.php?m=12&s=0) правила попадания в списки Level 2 и Level 3, что привело к более агрессивной фильтрации и увеличению размера списков. Например, число записей в списке Level 3 выросло (https://twitter.com/gexcolo/status/1360424840285491200) с 28 до 843 автономных систем.
Для противостояния UCEPROTECT была высказана идея использования при сканировании спуфинга адресов с указанием IP из диапазона спонсоров UCEPROTECT. В итоге UCEPROTECT внёс (https://twitter.com/gexcolo) адреса своих спонсоров и многих других невиновных в свои базы, что создало проблемы (https://blog.mxtoolbox.com/2021/02/12/recent-spikes-on-uce-protect-level-3/) с доставкой email. В том числе в список блокировки попала (https://blog.sucuri.net/2021/02/uceprotect-when-rbls-go-bad.html) CDN-сеть компании Sucuri.
14.02.2021
https://www.opennet.ru/opennews/art.shtml?num=54579
Проблема заключается в том, что подставные серверы UCEPROTECT, которые притворяются открытыми релеями и фиксируют попытки отправки почты через себя, автоматически включают адреса в список блокировки на основе любой сетевой активности, без проверки установки сетевого соединения. Аналогичный метод помещения в список блокировки также применяется (https://twitter.com/gexcolo/status/1114539137233752064) проектом Spamhaus.
Для попадания в список блокировки достаточно отправить один пакет TCP SYN, чем могут воспользоваться злоумышленники. В частности, так как двустороннего подтверждения TCP-соединения не требуется, можно при помощи спуфинга отправить пакет с указанием поддельного IP-адреса и инициировать попадание в список блокировки любого хоста. При симуляции активности с нескольких адресов можно добиться эскалации блокировки до уровней Level 2 и Level 3, которые выполняют блокировку по подсетям и номерам автономных систем.
Список Level 3 изначально был создан для борьбы с провайдерами, поощряющими вредоносную активность клиентов и не реагирующими на жалобы (например, хостинги, специально создаваемые для размещения нелегального контента или обслуживания спамеров). Несколько дней назад UCEPROTECT изменил (http://www.uceprotect.net/en/index.php?m=12&s=0) правила попадания в списки Level 2 и Level 3, что привело к более агрессивной фильтрации и увеличению размера списков. Например, число записей в списке Level 3 выросло (https://twitter.com/gexcolo/status/1360424840285491200) с 28 до 843 автономных систем.
Для противостояния UCEPROTECT была высказана идея использования при сканировании спуфинга адресов с указанием IP из диапазона спонсоров UCEPROTECT. В итоге UCEPROTECT внёс (https://twitter.com/gexcolo) адреса своих спонсоров и многих других невиновных в свои базы, что создало проблемы (https://blog.mxtoolbox.com/2021/02/12/recent-spikes-on-uce-protect-level-3/) с доставкой email. В том числе в список блокировки попала (https://blog.sucuri.net/2021/02/uceprotect-when-rbls-go-bad.html) CDN-сеть компании Sucuri.
14.02.2021
https://www.opennet.ru/opennews/art.shtml?num=54579