自訂特權角色

Okta 中的管理員角色具有您可以指派給自訂角色 的角色權限，其中部分是特權權限，如果授予未經授權的使用者，可能會引發嚴重的安全風險，包括使用者可完全入侵 Okta 組織。

此曝險指標 (IoE) 會偵測具有以下一個或多個特權權限的自訂角色：

• okta.groups.manage：包括 okta.groups.members.manage
• okta.groups.members.manage：將使用者新增至 Okta 或已連結應用程式中的特權群組後，可能會引發特權提升問題
• okta.users.credentials.expirePassword：讓攻擊者可針對使用者「設定新的臨時密碼」
• okta.users.credentials.manage：包括 okta.users.credentials.expirePassword、okta.users.credentials.resetFactors 和 okta.users.credentials .resetPassword
• okta.users.credentials.resetFactors：讓攻擊者得以「重設 MFA 驗證器」，更容易接管目標帳戶
• okta.users.credentials.resetPassword：讓攻擊者「重設使用者的密碼」
• okta.users.manage：讓攻擊者「建立和管理使用者」

這不一定是弱點。不過，Tenable 建議檢查自訂角色和角色獲派的權限，確認是否必要且適當。遵循最低特權原則，將潛在安全風險降至最低。

檢查和監控獲派自訂特權角色的主體。如果遭到入侵，攻擊者可以利用他們所擁有的自訂角色權限存取 Okta 組織。

名稱: 自訂特權角色

代碼名稱: PRIVILEGED-CUSTOM-ROLE-OKTA

嚴重性: Low

類型: Okta Indicator of Exposure