GSM operatörü Pulse Connect VPN sızma · BloodHound 4-hop DA path · 11 kritik bulgu
Türkiye'nin top 3 GSM operatörlerinden biri DSET'ten authorized red team istedi. Hedef: dış sızma → VPN exploit → AD lateral → core OSS sistemi. Kural: prod OSS sistemine etki YASAK. DSET BloodHound 4-hop DA path + 11 kritik bulgu raporladı, prod hiç etki yok, BTK takdir aldı, 3 yıllık sözleşme imzalandı.
01 Karşılaşılan Durum
Pastebin'de VPN .pfx sertifika 3 ay önce leaked. Pulse Connect Secure 9.0.3 yamasız (CVE-2019-11510). DMARC kayıtları zayıf, phishing potansiyeli yüksek. Final hedef core OSS sistemi (GSM çağrı yönlendirme), ETKİ KESINLIKLE YASAK. Türkiye'nin 'kritik altyapı' kapsamında, BTK denetimi sonrası talep edildi.
02 DSET'in Yaklaşımı
T+0 · Dış reconnaissance
OSINT: Pastebin VPN cert + Pulse CVE-2019-11510 + DMARC zayıflığı tespit. Saldırı yüzeyi haritası çıkarıldı.
T+1 hafta · VPN exploit
CVE-2019-11510 + leaked cert ile authenticated bypass. VPN gateway'e arbitrary file read + auth bypass başarılı, internal network'e tam erişim.
T+2 hafta · AD enumeration
BloodHound: DA path 4 hop, 12 escalation route. Kerberoast 14 SPN hesabı, 8 hash kırıldı (zayıf parola). SCCM PXE boot misconfig: arbitrary OS install.
T+3 hafta · DA elde
DA hash elde edildi. OSS ağına 1 hop kaldı, proof-of-concept tamamlandı, prod hiçbir etki yok (sözleşme uygun).