2021-02-14 10:54:44
UCEPROTECT блокирует сети без двустороннего подтверждения TCP-соединения
Сканировние портов привело к блокировке подсети провайдером из-за попадания в список UCEPROTECT
Винсент Кэнфилд (Vincent Canfield), администратор почтового сервиса и хостинга-реселлера cock.li, обнаружил, что всю его IP-сеть автоматически внесли в список DNSBL UCEPROTECT за сканирование портов с соседних виртуальных машин. Подсеть Винсента попала в список Level 3, в котором блокировка осуществляется по номерам автономных систем и охватывает целые подсети, с которых многократно и для разных адресов срабатывали детекторы рассылки спама. В результате провайдер M247 отключил анонс одной из его сетей в BGP, фактически приостановив обслуживание.
Проблема заключается в том, что подставные серверы UCEPROTECT, которые притворяются открытыми релеями и фиксируют попытки отправки почты через себя, автоматически включают адреса в список блокировки на основе любой сетевой активности, без проверки установки сетевого соединения. Аналогичный метод помещения в список блокировки также применяется проектом Spamhaus.
Для попадания в список блокировки достаточно отправить один пакет TCP SYN, чем могут воспользоваться злоумышленники. В частности, так как двустороннего подтверждения TCP-соединения не требуется, можно при помощи спуфинга отправить пакет с указанием поддельного IP-адреса и инициировать попадание в список блокировки любого хоста. При симуляции активности с нескольких адресов можно добиться эскалации блокировки до уровней Level 2 и Level 3, которые выполняют блокировку по подсетям и номерам автономных систем.
https://local.com.ua/news/3471-uceprotect-%d0%b1%d0%bb%d0%be%d0%ba%d0%b8%d1%80%d1%83%d0%b5%d1%82-%d1%81%d0%b5%d1%82%d0%b8-%d0%b1%d0%b5%d0%b7-%d0%b4%d0%b2%d1%83%d1%81%d1%82%d0%be%d1%80%d0%be%d0%bd%d0%bd%d0%b5%d0%b3%d0%be-%d0%bf%d0%be%d0%b4%d1%82%d0%b2%d0%b5%d1%80%d0%b6%d0%b4%d0%b5
68 views07:54