АП-ИМ
Написать нам в Telegram
+7 (812) 99-777-05info@up-im.ru

Массовые взломы Битрикс 2022–2025: хронология и выводы

Безопасность
4 марта 2026 г.
Фото Максим Козлов
Максим КозловРуководитель отдела разработки

В 2022–2025 годах тысячи российских сайтов на 1С-Битрикс подверглись нескольким волнам массовых атак. Хакеры эксплуатировали критические уязвимости в модулях CMS, а владельцы сайтов месяцами и даже годами не устанавливали доступные обновления. Для многих компаний это обернулось неделями простоя, утечкой данных клиентов и репутационным ущербом. Разбираем хронологию событий, технические детали атак и конкретные выводы для владельцев сайтов на Битрикс.

Хронология: как развивались атаки

Март 2022 — обнаружение CVE-2022-27228. В модуле «Опросы, голосования» (vote) обнаружена критическая уязвимость, позволяющая удалённому злоумышленнику записывать произвольные файлы на сервер через специально сформированные запросы к файлу /bitrix/tools/vote/uf.php. Разработчики 1С-Битрикс оперативно выпустили патч — модуль vote обновлён до версии 21.0.100 уже 11 марта 2022 года. Однако многие администраторы не установили обновление — из-за истёкших лицензий, из-за страха что-то сломать или просто по незнанию.

Лето 2022 — начало массовой эксплуатации. В мае 2022 года в открытый доступ попал документ с детальным описанием методов эксплуатации уязвимости. К июлю НКЦКИ (Национальный координационный центр по компьютерным инцидентам) выпустил обновлённый бюллетень с предупреждением. Злоумышленники начали массово сканировать Рунет и устанавливать бэкдоры на необновлённые сайты — тихо, без видимых последствий. Подготовка к масштабной атаке шла месяцами.

26 мая 2023 — массовый дефейс. В этот день бэкдорам, установленным ещё в 2022 году, была отдана команда на подмену главных страниц сайтов. Произошёл массовый дефейс веб-серверов в национальном сегменте .РФ — по оценкам экспертов CyberOK, это стала одной из крупнейших атак на российский сегмент интернета. Помимо модуля vote, злоумышленники использовали уязвимость в служебном модуле fileman (визуальный HTML-редактор), эксплуатация которой через скрипт html_editor_action.php также позволяла выполнять произвольный код.

Сентябрь 2023 — уязвимость в модуле landing (BDU:2023-05857). Эксперт Positive Technologies обнаружил критическую уязвимость типа Race Condition в модуле landing (конструктор «Сайты 24»). Уязвимость получила максимальную оценку — 10 из 10 баллов по шкале CVSS. Она позволяла неавторизованному злоумышленнику выполнять команды операционной системы на сервере. 1С-Битрикс выпустил обновление до версии 23.850.0 в тот же день. Но по данным сканирования CyberOK, проведённого в октябре 2025 года, около 150 000 из миллиона активных сайтов на 1С-Битрикс в Рунете всё ещё демонстрировали признаки подверженности этой уязвимости — спустя два года после выхода патча.

2025 — новая волна через сторонние модули. В марте 2025 года Центр мониторинга инцидентов 1С-Битрикс зафиксировал новую волну взломов. На этот раз атаки шли через устаревшие модули сторонних разработчиков из Маркетплейса — решения компаний eSolutions и «Маяк» для импорта и экспорта данных в форматах Excel и XML/YML. Подвержены риску оказались модули, не обновлявшиеся с 2023 года. Также под массовые атаки попали сайты на популярных шаблонах ASPRO — через уязвимость в функции десериализации (unserialize). Битрикс предупредил об угрозе в официальном Telegram-канале.

Как именно взламывали

Вектор 1: модуль vote (CVE-2022-27228). Уязвимость в файле /bitrix/tools/vote/uf.php позволяла записывать произвольные файлы на сервер без авторизации. Злоумышленники загружали PHP-шеллы и бэкдоры, получая полный контроль над сайтом. Этот модуль установлен по умолчанию, даже если сайт не использует опросы и голосования.

Вектор 2: модуль fileman (HTML-редактор). Служебный модуль fileman содержал уязвимый скрипт html_editor_action.php. Эксплуатация аналогична CVE-2022-27228 — позволяла неавторизованному злоумышленнику удалённо выполнять произвольный код. Модуль также входит в стандартную поставку CMS.

Вектор 3: модуль landing (BDU:2023-05857). Ошибка синхронизации при работе с общими ресурсами (Race Condition) в модуле конструктора сайтов. Критичность максимальная — CVSS 10/10. Позволяла выполнить команды ОС, получить контроль над сервером и проникнуть во внутреннюю сеть.

Вектор 4: сторонние модули из Маркетплейса. Модули для импорта/экспорта данных (Excel, XML/YML) и популярные шаблоны (ASPRO) от сторонних разработчиков. Уязвимости в функциях десериализации данных. Особенно опасно то, что обновления сторонних модулей часто не устанавливаются автоматически и требуют отдельного внимания.

Почему взломы продолжаются, хотя патчи давно вышли

Важно понимать: во всех описанных случаях разработчики 1С-Битрикс выпускали обновления оперативно — в течение дней после раскрытия уязвимостей. Массовые взломы стали возможны не из-за медлительности вендора, а по другим причинам:

  • Истёкшие лицензии. Без активной лицензии система обновлений Битрикс не работает. Многие компании экономят на продлении, фактически замораживая CMS на устаревшей версии
  • Страх обновлений. Кастомные доработки, нестандартные модули, изменённое ядро — администраторы боятся, что обновление сломает сайт. В результате сайт работает на версии двух-трёхлетней давности
  • Отсутствие процесса. У многих компаний просто нет регламента проверки и установки обновлений безопасности. Сайт «работает и ладно» — до момента взлома
  • Сторонние модули вне контроля. Даже если ядро обновлено, модули из Маркетплейса могут содержать уязвимости. Их обновления нужно отслеживать отдельно

Последствия для бизнеса

Простой сайта. Средний срок восстановления после серьёзной компрометации — от 5 до 14 рабочих дней. Для интернет-магазина каждый день простоя — это прямые убытки. Для B2B-компании — сорванные сроки, потерянные заявки, ущерб репутации.

Утечка данных клиентов. Злоумышленники получали доступ к базам данных: имена, телефоны, email-адреса, адреса доставки, история заказов. С учётом оборотных штрафов за утечку ПД (ФЗ № 420-ФЗ от 30.05.2025) — от 3 до 15 млн рублей за первичную утечку — финансовые последствия выросли многократно.

SEO-потери. Поисковые системы быстро обнаруживают вредоносный код и помечают сайт как опасный. Восстановление позиций в выдаче после снятия пометки занимает от нескольких недель до нескольких месяцев.

Повторные взломы. Многие компании пытались восстановиться самостоятельно — откатывали бэкап, обновляли ядро и считали проблему решённой. Через дни или недели сайт взламывали снова: бэкдоры, установленные за месяцы до видимой атаки, оставались в бэкапе.

5 уроков для владельцев сайтов на Битрикс

Урок 1. Обновления — не опция, а обязанность

Подавляющее большинство взломанных сайтов работали на версиях ядра и модулей, для которых патчи уже были выпущены. По данным CyberOK, через два года после выхода патча для BDU:2023-05857 около 150 000 сайтов в Рунете всё ещё оставались уязвимыми. Настройте процесс регулярных обновлений. Используйте тестовую среду для проверки обновлений перед применением. Если кастомные модификации мешают обновлению — это технический долг, который нужно устранять.

Урок 2. Неиспользуемые модули — это открытые двери

Модуль голосований (vote), модуль конструктора (landing), модуль fileman — если ваш сайт их не использует, но они установлены, они всё равно доступны для атаки. Удалите все модули, которые не участвуют в работе сайта. Минимизация поверхности атаки — базовый принцип безопасности.

Урок 3. Бэкап без проверки — иллюзия безопасности

Многие компании уверены, что у них есть бэкапы. Но когда дело доходит до восстановления, выясняется: бэкап содержит тот же вредоносный код (бэкдор был установлен за недели или месяцы до видимого взлома), бэкап повреждён, делался только для базы данных без файлов, или хранилище заполнилось и копии не создавались месяцами.

Бэкапы должны создаваться ежедневно, храниться на отдельном сервере, с глубиной хранения минимум 30 дней. И главное — проводите тестовое восстановление хотя бы раз в квартал.

Урок 4. Следите за сторонними модулями отдельно

Волна атак 2025 года показала: обновить ядро Битрикс недостаточно. Сторонние модули из Маркетплейса — отдельная зона ответственности. Ведите реестр установленных модулей, отслеживайте их обновления, удаляйте те, которые больше не поддерживаются разработчиком. Особое внимание — модулям для импорта/экспорта данных и популярным шаблонам.

Урок 5. Восстановление — это не «откатить бэкап»

Правильное восстановление после компрометации — это последовательный процесс: фиксация инцидента, анализ вектора атаки, полная очистка от вредоносного кода (включая базу данных, агенты, cron-задания), обновление всего ПО, смена всех паролей и ключей, проверка на повторные уязвимости. Откат бэкапа без этих шагов практически гарантирует повторный взлом.

Как защитить свой сайт на Битрикс сейчас

Битрикс остаётся одной из самых популярных CMS в России, и массовые атаки не означают, что от неё нужно отказываться. Но они наглядно демонстрируют: даже при оперативной работе вендора над патчами, безопасность конкретного сайта — ответственность его владельца. Регулярные обновления, мониторинг, минимизация поверхности атаки и периодические проверки — необходимый минимум.

Мы в АП-ИМ строим и обслуживаем сайты на Битрикс с 2008 года. Мы прошли через все волны атак вместе с нашими клиентами и знаем уязвимости этой платформы изнутри. Если ваш сайт на Битрикс и вы не уверены в его защищённости — закажите аудит безопасности. Если сайт уже взломан — мы восстановим его и закроем все точки входа.