Depende de cómo su organización use este tipo de informes.
Si las personas responsables de la planificación y / o la implementación de los controles de seguridad leen estos documentos una vez y luego nunca los vuelven a mirar O los ven más como una guía que las reglas reales sobre cómo configurar un entorno, puedo ver que es posible desea abstenerse de agregar demasiada información en el informe. Simplemente porque desea asegurarse de que las vulnerabilidades que están presentes de forma aguda se cumplen con medidas de seguridad.
Por otro lado, si estos son documentos "vivos" que establecen reglas sobre cómo deben planificarse e implementarse los controles Y las personas responsables actualizan estos documentos si la infraestructura cambia en un momento determinado, definitivamente desea incluir estos vulnerabilidades
En mi humilde opinión, como persona que organiza la seguridad de la información en una institución, este es el tipo de cultura que debe impulsar.
Si tiene miedo de que su documento se llene demasiado, siempre puede trabajar con su estructura. Algo que se hizo en una organización con la que trabajé, fue que se agregaron vulnerabilidades como esta o posibles vulnerabilidades futuras en un anexo del documento principal. Si la infraestructura se modificó de alguna manera, los administradores podrían revisar el anexo primero, si alguno de los cambios traería las vulnerabilidades enumeradas allí.
Un último punto que me gustaría resaltar: aunque USTED no habilitó esas funciones, esto no significa que un atacante no lo hará después de que él / ella haya tenido acceso al enrutador. Así que la implementación de medidas de seguridad por si acaso puede ser razonable. Sin embargo, esto podría ser algo que debería evaluarse en un análisis de riesgo.
Para citar ISO / IEC 27005:
La presencia de una vulnerabilidad no causa daño en sí misma, como
Tiene que haber una amenaza presente para explotarla. Una vulnerabilidad que
no tiene amenaza correspondiente no puede requerir la implementación de un
control, pero debe ser reconocido y monitoreado por cambios.