Descripción

Los roles de administrador de Okta incluyen permisos de roles que puede asignar a roles personalizados. Algunos de estos permisos son privilegiados y, si se otorgan a usuarios no autorizados, pueden representar graves riesgos de seguridad, tales como la vulneración total de la organización de Okta.

Este indicador de exposición (IoE) detecta roles personalizados que contienen uno o varios de los siguientes permisos privilegiados:

  • okta.groups.manage: incluye okta.groups.members.manage
  • okta.groups.members.manage: puede habilitar el escalamiento de privilegios al agregar usuarios a grupos con privilegios de Okta o aplicaciones conectadas
  • okta.users.credentials.expirePassword: permite que los atacantes “definan una nueva contraseña temporal” para un usuario
  • okta.users.credentials.manage: incluye okta.users.credentials.expirePassword, okta.users.credentials.resetFactors y okta.users.credentials.resetPassword
  • okta.users.credentials.resetFactors: permite que los atacantes “restablezcan los autenticadores de MFA”, lo que hace que tomar el control de una cuenta objetivo sea más fácil
  • okta.users.credentials.resetPassword: permite que los atacantes “restablezcan las contraseñas de los usuarios”
  • okta.users.manage: permite que los atacantes “creen y administren usuarios”

Solución

Esto no es necesariamente una vulnerabilidad. Sin embargo, Tenable recomienda revisar el rol personalizado y los permisos asignados para asegurarse de que sean necesarios y apropiados. Siga el principio de privilegios mínimos para minimizar los posibles riesgos de seguridad.

Revise y supervise las entidades asignadas al rol personalizado privilegiado. Si se vulneran, un atacante podría usar sus permisos para acceder a la organización de Okta con los permisos de este rol personalizado.