Escaner de Vulnerabilidades Ubuntu 24.04: lo que debes saber sobre deteccion CVE

Ubuntu 24.04 LTS y el backporting

Cuando instalas Ubuntu 24.04 LTS y ejecutas ssh -V, probablemente veas algo como OpenSSH_9.6p1 Ubuntu-3ubuntu13.5. Ese numero de version, 9.6p1, puede hacer saltar alarmas si lo comparas directamente contra las bases de datos de vulnerabilidades. Hay CVEs reportados para OpenSSH 9.6. Pero eso no significa que tu servidor sea vulnerable.

Canonical, la empresa detras de Ubuntu, practica algo llamado backporting: toma parches de seguridad de versiones mas nuevas del software y los aplica a la version que incluye en su distribucion. Esto significa que tu OpenSSH 9.6p1 en Ubuntu puede tener todos los parches de seguridad de versiones mas recientes, aunque el numero de version no cambie.

Cualquier escaner de vulnerabilidades Ubuntu 24.04 confiable debe tener esto en cuenta. Una herramienta simplista que compare numeros de version directamente contra NVD generara una avalancha de falsos positivos.

Por que los numeros de version mienten

Este es un error comun en las auditorias de seguridad: comparar directamente la version del software contra la lista de CVEs. Un escaner simplista que solo mire "OpenSSH 9.6" y lo cruce contra NVD va a reportar vulnerabilidades que Canonical ya parcho.

El problema es que verificar esto manualmente requiere:

1. Identificar el paquete exacto instalado (dpkg -l openssh-server)
2. Revisar el changelog de Canonical (apt changelog openssh-server)
3. Verificar cada CVE especifico contra los parches aplicados
4. Evaluar si la configuracion especifica del servidor hace que el CVE sea explotable

Para un solo paquete es tedioso. Para los 700+ paquetes tipicos de un servidor Ubuntu, es impracticable. Por eso importa la deteccion CVE automatizada — y por eso la logica de deteccion debe ser precisa.

La importancia de EPSS y CISA KEV

CVSS (Common Vulnerability Scoring System) te dice la severidad teorica de una vulnerabilidad. Pero la severidad no es lo mismo que el riesgo real. Un CVE con CVSS 9.8 (Critical) que nadie esta explotando activamente es diferente de un CVE con CVSS 7.0 (High) que tiene exploits publicos y esta siendo usado en ataques reales.

Para construir una herramienta de auditoria de seguridad util y evaluar el riesgo real, necesitas dos fuentes adicionales:

EPSS (Exploit Prediction Scoring System): Calcula la probabilidad de que un CVE sea explotado en los proximos 30 dias. Un EPSS de 0.97 significa que hay 97% de probabilidad de explotacion. Un EPSS de 0.001 significa que es practicamente teorico.

CISA KEV (Known Exploited Vulnerabilities): El catalogo del gobierno de Estados Unidos de vulnerabilidades que estan siendo activamente explotadas. Si un CVE aparece aqui, es urgente — cualquier herramienta de hardening de servidores que valga la pena debe marcar estos primero.

La combinacion de NVD, CISA KEV y EPSS es lo que diferencia un escaner de vulnerabilidades con mucho ruido de uno accionable.

Como Kolvera resuelve esto

Kolvera esta construido especificamente como herramienta de auditoria de seguridad para servidores Ubuntu y escaner de vulnerabilidades linux. Cuando ejecutas kolvera scan, el agente:

1. Inventaria todos los paquetes instalados y genera CPEs precisos
2. Cruza cada CPE contra la National Vulnerability Database (NVD)
3. Integra EPSS para calcular la probabilidad real de explotacion
4. Consulta CISA KEV para identificar vulnerabilidades activamente explotadas
5. Ejecuta un checker de hardening para configuraciones de Nginx y SSH

El resultado es una evaluacion precisa que distingue entre vulnerabilidades teoricas y riesgos reales, sin los falsos positivos de las herramientas que solo comparan numeros de version.

Todo esto en la Capa 1, completamente gratuita y funcionando offline en tu servidor.