Recientemente ejecuté el primer análisis de vulnerabilidades en la red de mis oficinas utilizando OpenVAS. Recibimos muchos falsos positivos. Principalmente vi que (al menos algunas) las pruebas desconocen los parches internos en un sistema.
Por ejemplo, nos alertaron sobre estos: CVE-2016-6515, CVE-2016-6210
en un sistema Ubuntu 16.04. OpenVAS reconoció el sistema para ejecutar OpenSSH 7.2p2
, pero estos se actualizaron en 7.2p2-4ubuntu2.1
y seguimos usando algo más tarde.
Puedo ver que estaba parcheado en el registro de cambios.
Tenemos la intención de escanear de nuevo en el futuro, y no solo con OpenVAS. ¿Hay una manera de evitarlos sin aumentar las probabilidades de falsos negativos? ¿Será mejor usar un escaneo autenticado? ¿Hay una manera de manejar las fuentes de las pruebas para tal fin?