Idioma:
Los roles de administrador de Okta incluyen permisos de roles que puede asignar a roles personalizados. Algunos de estos permisos son privilegiados y, si se otorgan a usuarios no autorizados, pueden representar graves riesgos de seguridad, tales como la vulneración total de la organización de Okta.
Este indicador de exposición (IoE) detecta roles personalizados que contienen uno o varios de los siguientes permisos privilegiados:
okta.groups.manage
: incluye okta.groups.members.manage
okta.groups.members.manage
: puede habilitar el escalamiento de privilegios al agregar usuarios a grupos con privilegios de Okta o aplicaciones conectadasokta.users.credentials.expirePassword
: permite que los atacantes “definan una nueva contraseña temporal” para un usuariookta.users.credentials.manage
: incluye okta.users.credentials.expirePassword
, okta.users.credentials.resetFactors
y okta.users.credentials.resetPassword
okta.users.credentials.resetFactors
: permite que los atacantes “restablezcan los autenticadores de MFA”, lo que hace que tomar el control de una cuenta objetivo sea más fácilokta.users.credentials.resetPassword
: permite que los atacantes “restablezcan las contraseñas de los usuarios”okta.users.manage
: permite que los atacantes “creen y administren usuarios”Esto no es necesariamente una vulnerabilidad. Sin embargo, Tenable recomienda revisar el rol personalizado y los permisos asignados para asegurarse de que sean necesarios y apropiados. Siga el principio de privilegios mínimos para minimizar los posibles riesgos de seguridad.
Revise y supervise las entidades asignadas al rol personalizado privilegiado. Si se vulneran, un atacante podría usar sus permisos para acceder a la organización de Okta con los permisos de este rol personalizado.
Nombre: Rol personalizado privilegiado
Nombre en clave: PRIVILEGED-CUSTOM-ROLE-OKTA
Gravedad: Low
Tipo: Okta Indicator of Exposure