Detecciones

Usuario con token de API

LOW

Idioma:

Descripción

La documentación de Okta (motor clásico / motor de identidad) define los tokens de API, o “tokens de SSWS”, como credenciales de autenticación para las solicitudes a la API de Okta creadas por usuarios específicos. Las acciones que se llevan a cabo con estos tokens se realizan en nombre de su propietario. Trate los tokens de la API como secretos y protéjalos al igual que las contraseñas. Estos tokens heredan los permisos de su creador; si los permisos del usuario cambian, los permisos del token cambian en consecuencia. Los superadministradores, los administradores de organizaciones, los administradores de grupos, los administradores de pertenencia a grupos y los administradores de solo lectura tienen la capacidad de crear tokens.

La mayoría de los tokens de la API creados por usuarios son legítimos y se usan para automatizar acciones. Sin embargo, para aprovecharse de esto, los atacantes pueden crear tokens malintencionados en nombre de un administrador para mantener el acceso persistente.

Metodología y objetivo:

  • Este IoE se centra únicamente en los tokens de API para la API de Okta, ya que actualmente es menos probable que otros tipos de tokens sean objeto de abuso, según el escenario de las amenazas.
  • Este IoE informa los tokens con estado “Inactivo” porque aún son válidos y es posible aprovecharse de ellos en cualquier momento.

Solución

Este indicador de exposición no puede determinar si un token de la API es legítimo. Debe revisar los tokens manualmente; para ello, debe ponerse en contacto con los propietarios para verificar su legitimidad.

Revoque los tokens que no reconozca, ya que un atacante podría haberlos creado con fines de persistencia. Si tiene grandes dudas, considere la posibilidad de realizar un análisis forense.

Además, puede considerar la posibilidad de revocar los tokens de API legítimos que no sean necesarios con el fin de reducir la superficie de ataque y las posibilidades de abuso.

Detalles del indicador

Nombre: Usuario con token de API

Nombre en clave: USER-WITH-API-TOKEN

Gravedad: Low

Tipo: Okta Indicator of Exposure

Información de MITRE ATT&CK: