説明

Okta の管理者ロールにはロールのアクセス許可が含まれていて、これらをカスタムロールに割り当てることができます。これらのアクセス許可の一部には特権が付与されています。承認されていないユーザーに付与されると、Okta 組織の完全な侵害など、重大なセキュリティリスクが生じる可能性があります。

この露出インジケーター (IoE) は、次の特権アクセス許可を 1 つ以上を含むカスタムロールを検出します。

  • okta.groups.manage: okta.groups.members.manage が含まれます
  • okta.groups.members.manage: Okta または接続されたアプリの特権グループにユーザーを追加することで、権限昇格が可能になります
  • okta.users.credentials.expirePassword: 攻撃者がユーザーの「新しい一時パスワードを設定」できるようになります
  • okta.users.credentials.manage: okta.users.credentials.expirePasswordokta.users.credentials.resetFactorsokta.users.credentials.resetPassword が含まれます
  • okta.users.credentials.resetFactors: 攻撃者が「MFA 認証子をリセット」して、ターゲットアカウントの乗っ取りを容易にできるようになります
  • okta.users.credentials.resetPassword: 攻撃者が「ユーザーのパスワードをリセット」できるようになります
  • okta.users.manage: 攻撃者が「ユーザーを作成および管理」できるようになります

ソリューション

これは、必ずしも脆弱性であるというわけではありません。ただし、Tenable では、カスタムロールとそれに割り当てられているアクセス許可を確認し、それらが必要かつ適切であることを確認することをお勧めします。最小特権の原則に従って、潜在的なセキュリティリスクを最小限に抑えてください。

特権カスタムロールに割り当てられたプリンシパルを確認しモニタリングします。侵害されると、攻撃者はこのカスタムロールのアクセス許可を使用して、Okta 組織にアクセスする可能性があります。