語言:
Okta 中的管理員角色具有您可以指派給自訂角色 的角色權限,其中部分是特權權限,如果授予未經授權的使用者,可能會引發嚴重的安全風險,包括使用者可完全入侵 Okta 組織。
此曝險指標 (IoE) 會偵測具有以下一個或多個特權權限的自訂角色:
okta.groups.manage
:包括 okta.groups.members.manage
okta.groups.members.manage
:將使用者新增至 Okta 或已連結應用程式中的特權群組後,可能會引發特權提升問題okta.users.credentials.expirePassword
:讓攻擊者可針對使用者「設定新的臨時密碼」okta.users.credentials.manage
:包括 okta.users.credentials.expirePassword
、okta.users.credentials.resetFactors
和 okta.users.credentials .resetPassword
okta.users.credentials.resetFactors
:讓攻擊者得以「重設 MFA 驗證器」,更容易接管目標帳戶okta.users.credentials.resetPassword
:讓攻擊者「重設使用者的密碼」okta.users.manage
:讓攻擊者「建立和管理使用者」這不一定是弱點。不過,Tenable 建議檢查自訂角色和角色獲派的權限,確認是否必要且適當。遵循最低特權原則,將潛在安全風險降至最低。
檢查和監控獲派自訂特權角色的主體。如果遭到入侵,攻擊者可以利用他們所擁有的自訂角色權限存取 Okta 組織。
名稱: 自訂特權角色
代碼名稱: PRIVILEGED-CUSTOM-ROLE-OKTA
嚴重性: Low
類型: Okta Indicator of Exposure