DIVD-2020-00009 - Pulse Secure VPN enterprise Leak
| Our reference | DIVD-2020-00009 |
| Case lead | Frank Breedijk |
| Author | Lennaert Oudshoorn |
| Researcher(s) |
|
| CVE(s) |
|
| Product | Pulse VPN |
| Versions | n/a |
| Recommendation | If your organisation was affected by this data breach we recommend to make a forensic copy of the system to investigate the compromise and replace the live system with a newly built setup. |
| Status | Closed |
| Last modified | 12 Aug 2022 11:21 CEST |
Samenvatting
4 augustus 2020 is een lijst van gebruikersnamen en IP adressen gelekt van meer dan 900 Pulse Secure VPN enterprise servers. De volgende data verschijnt in de gelekte dataset:
- IP-addressen van Pulse Secure VPN servers
- Pulse Secure VPN server firmware versie
- SSH keys voor elke server
- Een lijst van alle lokale gebruikers en hun wachtwoord hashes
- Admin account details
- Laatste VPN logins (inclusief gebruikersnamen en onversleutelde wachtwoorden)
- VPN sessie cookies
Wat kunt u doen?
Indien er geen servers van u voorkomen in dit datalek, hoeft u niets te doen. Indien er wel een server van u in dit datalek voorkomt adviseren wij u om een forensische kopie te maken van het systeem om onderzoek te doen in hoeverre het systeem gecompromitteerd is en het live systeem te vervangen door een schoon systeem. Daarnaast raden wij aan om onderzoek te doen of er geen systemen die achter deze VPN stonden gecompromiteerd zijn.
Wat doen wij?
Onderzoekers van het DIVD beschikken over de dataset van kwetsbare systemen en sturen een melding naar de beheerders van de Nederlandse IP-adressen die op deze lijst voorkomen.
Timeline
| Date | Description |
|---|---|
| 04-08-2020 | ZDnet publiceert artikel over dit lek |
| 05-08-2020 | Case geopened en meldingen verstuurd |
| 3-12-2020 | Case Closed. |
Meer informatie
English
Summary
On August 4th 2020 a list with usernames and IP addresses for over 900 Pulse Secure VPN enterprise servers has been leaked. The following data can be found in this leak:
- IP addresses of Pulse Secure VPN servers
- Pulse Secure VPN server firmware version
- SSH keys for each server
- A list of all local users and their password hashes
- Admin account details
- Last VPN logins (including usernames and cleartext passwords)
- VPN session cookies
What you can do
If there were no servers of your organisation in this data breach, you don’t need to act. In case there are servers of your organisation compromised, we advise you to make a forensic copy of the system to investigate the consequences of this compromise and to replace the live system with a clean copy. We also advise to investigate if any of the systems behind this VPN have been compromised.
Wat do we do?
Researchers at the DIVD have the dataset of vulnerable systems and notify administrators of the Dutch IP addresses.
Timeline
| Date | Description |
|---|---|
| 04 Aug 2020 | ZDnet publishes article about this breach |
| 05 Aug 2020 | Case opened and notifications sent |
| 03 Dec 2020 | Case Closed. |