"La versión SSH está desactualizada" no es necesariamente un problema de seguridad. Su recomendación es instalar la última versión, pero no hay ningún beneficio en ejecutar la última versión a menos que desee las últimas funciones. Por seguridad, lo que importa es que tiene todas las correcciones de seguridad aplicadas . Muchas distribuciones aplican correcciones de seguridad a la versión que envían. Por ejemplo, CentOS 6 aún envía OpenSSH 5.3p1 y recibirá actualizaciones de seguridad hasta 2020; CentOS 7, la versión actual, incluye OpenSSH 6.6.1p1. Debian jessie envía OpenSSH 6.7p1 y también recibirá actualizaciones de seguridad hasta 2020, mientras que la última versión se envía OpenSSH7.4p1.
En general, no debe instalar paquetes fuera de su distribución para componentes de infraestructura críticos como OpenSSH. Si lo hace, asegúrese de suscribirse a los boletines de seguridad y de aplicar las actualizaciones de seguridad tan pronto como sea posible. Si acaba de instalar OpenSSH 7.5 ahora y lo olvida más tarde, está debilitando considerablemente su seguridad.
Si obtiene un informe que solo dice "la versión está desactualizada" y ni siquiera intenta determinar si se han aplicado los parches de seguridad adecuados, es un informe incorrecto.
Cerrar el acceso SSH externo en servidores que no los necesitan es una buena idea, independientemente. Una máquina en la que las actualizaciones de seguridad se están retrasando, o una máquina en la que la contraseña o la clave de un usuario se hayan visto comprometidas, podría llevar al atacante a su red. A menudo es una buena idea limitar el acceso externo a una sola máquina de pasarela (o un pequeño conjunto de máquinas para redundancia) donde las actualizaciones y las cuentas se supervisan más de cerca. Cerrar el puerto en el firewall mitigará el problema del acceso directo. El acceso indirecto (donde el atacante ingresa a la red en una máquina que no hace nada importante, y usa eso como un relé para ingresar a una máquina más importante) seguirá siendo una preocupación.
Puede verificar el acceso a SSH por sí mismo ejecutando ssh -v MACHINENAME
desde afuera. Si MACHINENAME está ejecutando un servidor SSH y el firewall no lo bloquea, verá una línea como
debug1: Remote protocol version 2.0, remote software version OpenSSH_6.7p1 Debian-5+deb8u3
Eso, mientras escribo, es la versión actual en Debian jessie y está perfectamente bien.