D-Link ha lanzado un nuevo firmware para su amplificador de alcance inalámbrico DAP 1320 y para la familia de cámaras Wi-Fi DCS-93xL con el fin de arreglar dos vulnerabilidades críticas que pueden conducir al secuestro del dispositivo.

Las vulnerabilidades fueron descubiertas por los investigadores de Tangible Security en responsabilidad compartida con D-Link.

La primera de ellas afecta al amplificador de alcance Wi-Fi, es una vulnerabilidad de inyección de comandos en el mecanismo de actualización del firmware. "Al permitir un ataque de inyección de comandos, un atacante podría comprometer el sistema y desestabilizarlo  para su propósito, por ejemplo lanzar un sniffer contra las contraseñas de los usuarios Wi-Fi con impacto en la confidencialidad, integridad y disponibilidad del dispositivo y de sus servicios" explicaron los investigadores.

D-Link aconseja a todos los usuarios actualizar a la última versión del firmware (1.21b05).

La vulnerabilidad que afecta a la familia de dispositivos DCS-93xL se encuentra en una página web oculta en el dispositivo, puede permitir a un atacante subir archivos arbitrarios desde su sistema.

"Al permitir que cualquier archivo en el sistema de archivos sea sobrescrito, el atacante podría sobrescribir la funcionalidad del dispositivo. La funcionalidad no deseada revela detalles que podrían conducir a una mayor explotación", señalaron los investigadores.

Los usuarios deberán utilizar la aplicación móvil de mydlink lite para actualizar su firmware a la brevedad posible.

"Tangible Security no tiene conocimiento de exploits públicos de estas vulnerabilidades. Sin embargo, debido a la categorización de estas vulnerabilidades, puede ser razonable creer que los criminales cibernéticos lo están haciendo", concluyeron los investigadores.