特権カスタムロール

Okta の管理者ロールにはロールのアクセス許可が含まれていて、これらをカスタムロールに割り当てることができます。これらのアクセス許可の一部には特権が付与されています。承認されていないユーザーに付与されると、Okta 組織の完全な侵害など、重大なセキュリティリスクが生じる可能性があります。

この露出インジケーター (IoE) は、次の特権アクセス許可を 1 つ以上を含むカスタムロールを検出します。

• okta.groups.manage: okta.groups.members.manage が含まれます
• okta.groups.members.manage: Okta または接続されたアプリの特権グループにユーザーを追加することで、権限昇格が可能になります
• okta.users.credentials.expirePassword: 攻撃者がユーザーの「新しい一時パスワードを設定」できるようになります
• okta.users.credentials.manage: okta.users.credentials.expirePassword、okta.users.credentials.resetFactors、okta.users.credentials.resetPassword が含まれます
• okta.users.credentials.resetFactors: 攻撃者が「MFA 認証子をリセット」して、ターゲットアカウントの乗っ取りを容易にできるようになります
• okta.users.credentials.resetPassword: 攻撃者が「ユーザーのパスワードをリセット」できるようになります
• okta.users.manage: 攻撃者が「ユーザーを作成および管理」できるようになります

これは、必ずしも脆弱性であるというわけではありません。ただし、Tenable では、カスタムロールとそれに割り当てられているアクセス許可を確認し、それらが必要かつ適切であることを確認することをお勧めします。最小特権の原則に従って、潜在的なセキュリティリスクを最小限に抑えてください。

特権カスタムロールに割り当てられたプリンシパルを確認しモニタリングします。侵害されると、攻撃者はこのカスタムロールのアクセス許可を使用して、Okta 組織にアクセスする可能性があります。

名前: 特権カスタムロール

コード名: PRIVILEGED-CUSTOM-ROLE-OKTA

深刻度: Low

タイプ: Okta Indicator of Exposure