Erkennungen

Privilegierte benutzerdefinierte Rolle

LOW

Sprache:

Beschreibung

Zu den Administratorrollen in Okta gehören Rollenberechtigungen, die Sie benutzerdefinierten Rollen zuweisen können. Einige dieser Berechtigungen sind privilegiert und können ein schwerwiegendes Sicherheitsrisiko darstellen, wenn sie nicht autorisierten Benutzern erteilt werden – bis hin zur vollständige Kompromittierung der Okta-Organisation.

Dieser Indicator of Exposure (IoE) erkennt benutzerdefinierte Rollen, die eine oder mehrere der folgenden privilegierten Berechtigungen enthalten:

  • okta.groups.manage: Umfasst okta.groups.members.manage.
  • okta.groups.members.manage: Kann eine Rechteausweitung ermöglichen, indem Benutzer zu privilegierten Gruppen in Okta oder verbundenen Anwendungen hinzugefügt werden.
  • okta.users.credentials.expirePassword: Ermöglicht es Angreifern, ein neues vorübergehendes Passwort für einen Benutzer festzulegen.
  • okta.users.credentials.manage: Umfasst okta.users.credentials.expirePassword, okta.users.credentials.resetFactors und okta.users.credentials.resetPassword.
  • okta.users.credentials.resetFactors: Ermöglicht es Angreifern, die MFA-Authentifizierung zurückzusetzen, was die Übernahme eines Zielkontos erleichtert.
  • okta.users.credentials.resetPassword: Ermöglicht es Angreifern, Passwörter für Benutzer zurückzusetzen.
  • okta.users.manage: Ermöglicht es Angreifern, Benutzer zu erstellen und zu verwalten.

Lösung

Hierbei handelt es sich nicht unbedingt um eine Schwachstelle. Tenable empfiehlt jedoch, die benutzerdefinierte Rolle und die zugewiesenen Berechtigungen zu überprüfen und sicherzustellen, dass sie notwendig und angemessen sind. Folgen Sie dem Prinzip der geringsten Privilegien, um potenzielle Sicherheitsrisiken zu minimieren.

Überprüfen und überwachen Sie die Prinzipale, die der privilegierten benutzerdefinierten Rolle zugewiesen sind. Falls kompromittiert, könnte ein Angreifer deren Berechtigungen verwenden, um mit den Rechten dieser benutzerdefinierten Rolle Zugriff auf die Okta-Organisation zu erlangen.

Indikatordetails

Name: Privilegierte benutzerdefinierte Rolle

Codename: PRIVILEGED-CUSTOM-ROLE-OKTA

Schweregrad: Low

Typ: Okta Indicator of Exposure

MITRE ATT&CK-Informationen: