Détections

Utilisateurs avec jeton d'API

LOW

Langue :

Description

La documentation d'Okta (classic engine / identity engine - en anglais) définit les jetons d'API, ou « jetons SSWS », comme des informations d'authentification pour les requêtes d'API Okta créées par des utilisateurs spécifiques. Les actions effectuées avec ces jetons sont faites au nom de leur propriétaire. Les jetons d'API doivent être considérés comme des secrets et sécurisés comme des mots de passe. Ces jetons héritent des autorisations de leur créateur ; si les autorisations de l'utilisateur changent, les autorisations du jeton sont modifiées en conséquence. Les super administrateurs, les administrateurs d'organisation, les administrateurs de groupe, les administrateurs d'appartenance à un groupe et les administrateurs en lecture seule ont la possibilité de créer des jetons.

La plupart des jetons d'API créés par les utilisateurs sont légitimes et servent à automatiser des actions. Les attaquants peuvent néanmoins exploiter cette autorisation en créant des jetons malveillants liés au compte d'un administrateur, afin d'obtenir un accès persistant.

Méthodologie et objectif :

  • Cet IoE se concentre uniquement sur les jetons pour l'API Okta, car les autres types de jetons sont actuellement moins susceptibles d'être exploités dans le cadre du paysage des menaces.
  • Cet indicateur d'exposition signale les jetons ayant le statut « Inactif » car ils sont toujours valides et peuvent être exploités à tout moment.

Solution

Cet indicateur d'exposition ne peut pas déterminer si un jeton d'API est légitime. Vous devez examiner manuellement les jetons en contactant leurs propriétaires pour vérifier leur légitimité.

Révoquez tout jeton non reconnu, car un attaquant peut l'avoir créé à des fins de persistance. Si vous avez de sérieux doutes, envisagez de mener une analyse forensique.

Vous pouvez également envisager de révoquer les jetons d'API légitimes inutiles afin de réduire la surface d'attaque et les risques d'exploitation.

Détails de l'indicateur

Nom: Utilisateurs avec jeton d'API

Nom de code: USER-WITH-API-TOKEN

Sévérité: Low

Type: Okta Indicator of Exposure

Informations MITRE ATT&CK: