Dipende da come la tua organizzazione utilizza questo tipo di rapporti.
Se le persone responsabili della pianificazione e / o dell'implementazione dei controlli di sicurezza leggono questi documenti una volta e poi non li guardano mai più O li vedono più come linee guida rispetto alle regole attuali su come impostare un ambiente, posso vedere che potresti voglio astenermi dall'aggiungere troppe informazioni nel rapporto. Solo perché vuoi essere sicuro che le vulnerabilità presenti in modo reale siano soddisfatte con misure di sicurezza.
D'altra parte se questi sono documenti "viventi" che stabiliscono regole su come i piani devono essere pianificati e implementati E le persone che sono responsabili aggiornano questi documenti se l'infrastruttura cambia a un certo punto, si vuole sicuramente includerli vulnerabilità.
IMHO come qualcuno che organizza la sicurezza delle informazioni in un'istituzione questo è il tipo di cultura che dovresti promuovere.
Se hai paura che il tuo documento diventi troppo disordinato, puoi sempre lavorare con la sua struttura. Qualcosa che è stato fatto in un'organizzazione con cui ho lavorato è stato, che vulnerabilità come questa o possibili vulnerabilità future sono state aggiunte in un allegato al documento principale. Se l'infrastruttura è stata modificata in qualche modo, gli amministratori potrebbero controllare prima l'allegato, se una qualsiasi delle modifiche apporterebbe le vulnerabilità elencate qui.
Un ultimo punto che vorrei fare: sebbene tu non abbia abilitato queste funzionalità, questo non significa che un attaccante non lo farà dopo aver avuto accesso al router. Quindi, l'implementazione di misure di sicurezza nel caso in cui possa essere ragionevole. Questo potrebbe essere qualcosa che dovrebbe essere valutato in un'analisi di rischio però.
Per quotare ISO / IEC 27005:
The presence of a vulnerability does not cause harm in itself, as
there needs to be a threat present to exploit it. A vulnerability that
has no corresponding threat may not require the implementation of a
control, but should be recognized and monitored for changes.