自定义特权角色

Okta 中的管理员角色包含一些角色权限，这些权限可以分配给自定义角色。其中一些权限为特权，如果授予未授权用户，可能会造成严重的安全风险，包括使整个 Okta 组织遭入侵。

此风险暴露指标 (IoE) 用于检测包含以下一个或多个特权权限的自定义角色：

• okta.groups.manage：包括 okta.groups.members.manage
• okta.groups.members.manage：可以通过将用户添加到 Okta 或连接的应用中的特权组来提升特权
• okta.users.credentials.expirePassword：允许攻击者为用户“设置一个新的临时密码”
• okta.users.credentials.manage：包括 okta.users.credentials.expirePassword、okta.users.credentials.resetFactors 和 okta.users.credentials.resetPassword
• okta.users.credentials.resetFactors：允许攻击者“重置 MFA 身份验证器”，从而更容易接管目标帐户
• okta.users.credentials.resetPassword：允许攻击者“为用户重置密码”
• okta.users.manage：允许攻击者“创建和管理用户”

这并不一定是漏洞。不过，Tenable 建议检查自定义角色及其分配的权限，以确保这些权限是必要且适当的。请遵循最小特权原则，以将潜在安全风险降至最低。

检查并监控分配给特权自定义角色的主体。如果遭到入侵，攻击者可以利用他们被授予的权限，通过该自定义角色的权限访问 Okta 组织。

名称: 自定义特权角色

代码名称: PRIVILEGED-CUSTOM-ROLE-OKTA

严重性: Low

类型: Okta Indicator of Exposure