Language:
Okta の管理者ロールにはロールのアクセス許可が含まれていて、これらをカスタムロールに割り当てることができます。これらのアクセス許可の一部には特権が付与されています。承認されていないユーザーに付与されると、Okta 組織の完全な侵害など、重大なセキュリティリスクが生じる可能性があります。
この露出インジケーター (IoE) は、次の特権アクセス許可を 1 つ以上を含むカスタムロールを検出します。
okta.groups.manage
: okta.groups.members.manage が含まれます
okta.groups.members.manage
: Okta または接続されたアプリの特権グループにユーザーを追加することで、権限昇格が可能になりますokta.users.credentials.expirePassword
: 攻撃者がユーザーの「新しい一時パスワードを設定」できるようになりますokta.users.credentials.manage
: okta.users.credentials.expirePassword
、okta.users.credentials.resetFactors
、okta.users.credentials.resetPassword が含まれます
okta.users.credentials.resetFactors
: 攻撃者が「MFA 認証子をリセット」して、ターゲットアカウントの乗っ取りを容易にできるようになりますokta.users.credentials.resetPassword
: 攻撃者が「ユーザーのパスワードをリセット」できるようになりますokta.users.manage
: 攻撃者が「ユーザーを作成および管理」できるようになりますこれは、必ずしも脆弱性であるというわけではありません。ただし、Tenable では、カスタムロールとそれに割り当てられているアクセス許可を確認し、それらが必要かつ適切であることを確認することをお勧めします。最小特権の原則に従って、潜在的なセキュリティリスクを最小限に抑えてください。
特権カスタムロールに割り当てられたプリンシパルを確認しモニタリングします。侵害されると、攻撃者はこのカスタムロールのアクセス許可を使用して、Okta 組織にアクセスする可能性があります。
名前: 特権カスタムロール
コード名: PRIVILEGED-CUSTOM-ROLE-OKTA
深刻度: Low
タイプ: Okta Indicator of Exposure